Можно ли хэшировать пароль в файле vault_password_file для ansible?

Question

Я обеспокоен файлом хранилища паролей, в котором хранится пароль дешифрования в виде обычного текста, но я не смог найти никаких решений.

Сегодня я использовал команду ansible-vault encrypt для шифрования всех моих переменных.Затем я создал файл пароля, который будет использоваться для пароля хранилища, и указал на него строку vault_password_file в ansible.cfg.Я не хочу, чтобы пользователям в ansible системе предлагалось вводить пароль хранилища каждый раз, когда они запускают playbook, именно поэтому мы выбрали этот метод.

Это все работает нормально, но яобеспокоен тем, что пароль в файле хранится в виде простого текста.Для меня это побеждает осуществление шифрования другой информации.Я пытался найти решения для этого, но я не могу найти какие-либо ответы.

Мне интересно, есть ли какие-либо методы для хеширования пароля в файле, который все еще позволяет ansible использовать его для расшифровки?

У кого-нибудь есть какие-нибудь решения, которые я мог бы изучить?

Answer 1

Предполагая, что вы используете управление исходным кодом, которым вы должны быть - тогда вы можете сохранить пароль ansible_vault в файле, как вы сейчас, но использовать либо git-secret или blackbox (https://github.com/StackExchange/blackbox) для шифрования пароля хранилищаfile.

git-secret специально для git и blackbox работает с git, а также с некоторыми другими поставщиками контроля версий.

С помощью blackbox вы добавляете открытый ключ пользователя для шифрования вашего файла, и либоодин из ваших пользователей может расшифровать файл. Если они уйдут, вы можете просто удалить их открытый ключ и больше не иметь доступа к файлу.

Одним шагом вверх по этому пути будет выделенный инструмент управления секретами, как уже упоминалось.в комментариях, но это достаточно простой промежуточный шаг для реализации.