Parece que existem apenas duas abordagens razoáveis para o usuário Ansible principal:
root
ansible ) com NOPASSWD sudo access A primeira opção é um não-go desde que eu me arrepio com o pensamento de manter PermitRootLogin on. Então, por padrão, a segunda opção parece ser o caminho a percorrer.
Eu estava pensando, no mínimo, em /etc/ssh/sshd_config :
Match User ansible
PasswordAuthentication No
E limitar o uso de chaves ao host Ansible usando a opção from em authorized_keys :
from="192.168.100/24"
Alguma outra idéia ou problema / preocupação com meus pensamentos até agora?
Essas são as medidas que eu uso para clientes que precisam ser gerenciados remotamente pelo ssh (no meu caso usando o BackupPC ao invés do Ansible, mas funciona da mesma maneira).
Se você estiver usando apenas o ssh para gerenciar os clientes, não para o acesso ao shell, ele melhorará a segurança para adicionar
AllowUsers ansible
PasswordAuthentication no
Você pode ter uma conta de usuário que requer uma senha para acesso ao SUDO e fornecer esse valor em tempo de execução por meio do --ask-sudo-pass flag ( -K ) para o ansible-playbook
ansible-playbook -i inv/production -K playbook.yml
veja link para mais detalhes