将 FreeBSD 上的 Ansible 主机和客户机都安装在 Jail 中
作者:Roller Angel
译者:飞鱼
校对整理:ykla
目前,我正在努力将其转化为 Ansible Playbook =D
,我也刚刚从 mwl.io 订购了 FreeBSD Mastery Jails 一书,这将是非常有用的
Ansible Playbook =D
,我也刚刚从 mwl.io 订购了 FreeBSD Mastery Jails 一书,这将是非常有用的在我的实验室里,我使用 OPNSense 防火墙,它也是我的 DHCP 服务器,默认网关设置为 172.16.28.1,它还充当我的 DNS。下面我们将使用 zroot
作为 zpool 的名称
zroot
作为 zpool 的名称在主机上执行:
vi /etc/sysctl.conf
添加内容:
# Allow jail raw sockets
security.jail.allow_raw_sockets=1
# Allow upgrades in jail
security.jail.chflags_allowed=1
执行以下内容:
sysctl security.jail.allow_raw_sockets=1
sysctl security.jail.chflags_allowed=1
vi /boot/loader.conf
添加内容:
# RACCT/RCTL Resource limits
kern.racct.enable=1
运行以下内容:
zfs create -o mountpoint=/jail zroot/jail
zfs create -o mountpoint=/jail/ansible0 zroot/jail/ansible0
fetch -o - http://ftp.freebsd.org/pub/FreeBSD/releases/amd64/12.0-RELEASE/base.txz | tar --unlink -xpJf - -C /jail/ansible0
ls /jail/ansible0
vi /etc/jail.conf
添加以下配置:
ansible0 {
host.hostname = ansible0.lab.bsd.pw;
ip4.addr = 172.16.28.10;
interface = em0;
path = /jail/ansible0;
exec.start = "/bin/sh /etc/rc";
exec.stop = "/bin/sh /etc/rc.shutdown";
exec.clean;
mount.devfs;
allow.raw_sockets;
sysvsem = new;
sysvshm = new;
sysvmsg = new;
}
运行以下内容:
sysrc jail_enable=YES
sysrc jail_ansible0_mount_enable=YES
service jail restart ansible0
jexec 1 tcsh
vi /etc/resolv.conf
添加以下 DNS 配置:
nameserver 172.16.28.1
执行以下内容:
ping -c 3 bsd.pw
adduser
以下是我敲入的内容:
root@ansible0:/ # adduser
Username: ansible
Full name: Ansible user
Uid (Leave empty for default):
Login group [ansible]:
Login group is ansible. Invite ansible into other groups? []: wheel
Login class [default]:
Shell (sh csh tcsh nologin) [sh]: tcsh
Home directory [/home/ansible]:
Home directory permissions (Leave empty for default):
Use password-based authentication? [yes]:
Use an empty password? (yes/no) [no]:
Use a random password? (yes/no) [no]:
Enter password:
Enter password again:
Lock out the account after creation? [no]:
Username : ansible
Password : *****
Full Name : Ansible user
Uid : 1001
Class :
Groups : ansible wheel
Home : /home/ansible
Home Mode :
Shell : /bin/tcsh
Locked : no
OK? (yes/no): yes
pkg install -y sudo python37
visudo
/wheel (press Enter)
j0xxZZ (on first search of wheel, j goes down a line, 0 to the start of a line, xx to delete comment, ZZ to save and quit)
su ansible
cd
sudo -H python3.7 -m ensurepip
sudo -H pip3.7 install pipenv
mkdir ansible
cd ansible
vi hosts
添加以下配置:
[local]
127.0.0.1 ansible_python_interpreter=/usr/local/bin/python3.7 ansible_connection=local
运行以下内容:
pipenv install ansible
pipenv shell
ansible local -i hosts -m setup
ansible local -i hosts -m pkgng -a "name=git-lite state=present" -bK
奇怪的是......上面的操作在我的 jail 机器里失败了,但当我在真实的硬件设置上设置同样的东西时,它可以正常工作并添加软件包...... jail 得到一个错误,说“Could not update catalogue”(无法更新目录)。
我应该把我的 jail 设置成 Ansible 的 target:
sudo -i
sysrc sshd_enable=YES
service sshd start
vi /etc/ssh/sshd_config
将 ListenAddress 改为 jaill 的 IP。同时在文件末尾添加一个新行,显示以下配置:
AllowUsers ansible
执行以下内容:
service sshd restart
exit
mkdir .ssh
vi .ssh/authorized_keys
authorized_keys
应该包括 cat ansible.pub
的输出(不管你给你的 ssh 密钥对起什么名字)在它自己的一行中。
从这里开始,我就在我的普通 FreeBSD 笔记本上执行命令:
vi ansible.cfg
添加以下内容:
[defaults]
inventory = hosts
remote_user = ansible
不需要一直输入 -i hosts
。
回到 jail 中(我们可能不再需要把 ansible
放在 wheel
组中......这需要考虑。)
pw groupadd sudo
pw groupmod sudo -m ansible
visudo
添加以下配置:
%sudo ALL=(ALL) NOPASSWD: ALL
不需要一直输入 -K
和 sudo 密码,只需使用按键即可。
我在我的主机上添加了一个 [jails]
部分,其中有 jail 的 IP,像以下这样:
[jails]
172.16.28.10
[jails:vars]
ansible_python_interpreter=/usr/local/bin/python3.7
现在我可以成为 sudo,而不必输入密码了:
ansible jails -m package -a "name=git-lite state=present" -b
最后更新于