我需要确保给定用户能够读取 ansible 中的给定文件。当然,我使用“acl”模块(使用setfacl)来授予用户读取权限。这很容易。但我还需要确保用户可以“执行”文件路径树上的所有目录。例如。:
read /var/lib/secured/directory/file
eXecute /var/lib/secured/directory
eXecute /var/lib/secured
eXecute /var/lib
eXecute /var
eXecute /
这个话题已经很老了,但是我遇到过类似的情况,我解决了用 python 编写一个(非常)简约的过滤器插件。
假设我有一个文件位于 ansible 托管节点上的
/path/to/my/filerx//path/path/to/path/to/my构建所有这些路径的列表的一个简单方法是在角色目录中的
filter_plugins/filters.pyparentsfrom pathlib import Path
class FilterModule(object):
def filters(self):
return {
'parents': lambda path: [path]+[ str(parent) for parent in Path(path).parents ]
}
现在在
tasks/main.yml- name: Apply acl perms
ansible.posix.acl:
path: "{{ item }}"
entity: "{{ myuser }}"
etype: user
permissions: "{{ perm }}"
state: present
loop: "{{ myfile | parents }}"
loop_control:
index_var: i
vars:
perm: "{{ (i==0 ) | ternary('r', 'x') }}"
myfile: /path/to/my/file
myuser: fizzgig1888
运行它,它应该产生以下输出:
TASK [myrole : Apply acl perms] *************************************************************************
changed: [controller] => (item=/path/to/my/file)
changed: [controller] => (item=/path/to/my)
changed: [controller] => (item=/path/to)
changed: [controller] => (item=/path)
changed: [controller] => (item=/)
使用自定义
parents"{{ myfile | parents }}"['/path/to/my/file', '/path/to/my', '/path/to', '/path', '/']在任务循环中,loop_control 定义设置一个变量
iternarypermri0permx备注:请注意,根
/parents您需要使用ACL吗? 如果您需要做的只是授予用户对目录结构的执行权限,我首先想到的是使用
chmod- file:
path: /var/lib/secured/directory
state: directory
owner: root
group: root
mode: u=rwx,g=rwx,o=rx
recurse: yes
或类似的。