Pokud servisní účet může provádět sudo bez hesla, musíte chránit přístup k tomuto účtu.
Účet není mít heslo a používat k přihlášení pouze ssh klíče, toho dosáhnete, za předpokladu, že můžete mít v bezpečí i soukromý klíč ssh.
Nový uživatel vytvořený v (2) se může přihlásit pouze pomocí klíče SSH, bez hesla. Klíč SSH poskytuje nepřímý přístup root. Toto je ekvivalentní pouhému povolení přihlášení root pomocí klíče.
Protože účet nemá heslo, není možné mít sudo požádat o heslo. Ansible také musí být schopen provádět příkazy. Poskytnutí dalšího hesla na stejném místě jako klíč by nezvýšilo zabezpečení.
Problém je v tom, že ansible je pro administrátory a automatizaci, takže pokud potřebujete zadat heslo pro spuštění skriptu, není to opravdu nejlepší způsob. Také není bezpečné ukládat heslo pro sudo do souboru nebo databáze a lze jej získat pokaždé, když spustíte playbook. Takže kombinace sudo bez hesla a autentizace pomocí ssh Keys je nejlepší metodou, jak zajistit bezpečnost a žádné správné problémy spuštěním playbooku. Jste také administrátor a víte, co programujete v playbooku. Takže playbook nemůže zničit vaše servery.