You need to enable JavaScript to run this app.
最新活动
大模型
产品
解决方案
定价
生态与合作
支持与服务
开发者
了解我们
文档备案控制台

如何通过Puppet脚本从文件读取IP与密码并执行SSH命令(替换硬编码)

avatar
阿华AIGC实验室
2026-5-15
用Puppet实现从文件读取SSH凭据与IP并执行命令

我来帮你解决这个问题,要把硬编码的SSH凭据和IP改成从文件读取,同时用Puppet自动化执行命令,我们可以分步骤实现,还要重点关注安全性:

1. 准备安全的凭据配置文件

首先,在目标节点上创建一个存储凭据和IP的文件(比如/etc/ssh_credentials.conf),用简单的键值对格式即可:

# /etc/ssh_credentials.conf
ssh_user=root
ssh_password=root1234
ssh_ip=ipaddrs

关键安全设置:这个文件必须设置严格的权限,只有root用户能读写,避免敏感信息泄露。

2. Puppet代码实现

接下来编写Puppet代码,完成三个核心动作:确保凭据文件存在且权限安全、读取并解析文件内容、执行目标SSH命令。

2.1 确保凭据文件的安全存在

file资源管理凭据文件,你可以直接在Puppet里定义内容,或者从Puppet服务器的模块目录导入:

file { '/etc/ssh_credentials.conf':
  ensure => file,
  owner  => 'root',
  group  => 'root',
  mode   => '0600', # 仅root可读可写,绝对不能给其他用户权限
  # 如果你想从Puppet模块导入文件,用下面的source替代content
  # source => 'puppet:///modules/your_module_name/ssh_credentials.conf',
  content => @('EOT')
ssh_user=root
ssh_password=root1234
ssh_ip=ipaddrs
EOT
}

2.2 读取并解析凭据文件内容

把文件里的键值对转换成Puppet变量,方便在命令中引用:

# 读取凭据文件的全部内容
$ssh_creds_content = file('/etc/ssh_credentials.conf')

# 将每行的key=value转换成哈希表
$ssh_creds_lines = split($ssh_creds_content, '\n')
$ssh_creds_hash = hash($ssh_creds_lines.map |$line| { split($line, '=') })

# 提取需要的变量
$ssh_user = $ssh_creds_hash['ssh_user']
$ssh_password = $ssh_creds_hash['ssh_password']
$ssh_ip = $ssh_creds_hash['ssh_ip']

2.3 执行目标SSH命令

exec资源执行命令,通过inline_template把变量插入到命令字符串中,同时确保命令只在凭据文件存在时执行:

exec { 'add_host_to_qconf':
  command => inline_template('/bin/bash -c \'sshpass -p <%= @ssh_password %> ssh -o StrictHostKeyChecking=no <%= @ssh_user %>@<%= @ssh_ip %> qconf -ah <%= @hostname %>\''),
  path    => ['/bin', '/usr/bin'], # 确保sshpass、ssh等命令在PATH里
  onlyif  => 'test -f /etc/ssh_credentials.conf', # 文件存在才执行
  require => File['/etc/ssh_credentials.conf'], # 确保先创建凭据文件再执行命令
}

3. 重要安全注意事项

  • 绝对不要把明文凭据文件提交到版本控制系统(比如Git),如果需要集中管理,建议用Puppet的Hiera配合hiera-eyaml加密存储敏感数据。
  • 保持凭据文件的权限为0600,这是防止敏感信息泄露的关键。
  • 尽量避免使用sshpass,如果可能的话,改用SSH密钥认证,安全性会高很多。

4. 替代方案:用Hiera存储敏感数据(推荐)

如果你的环境已经在用Hiera,更安全的做法是把凭据存储在加密的Hiera数据中,而不是明文文件:

# 在加密的Hiera文件中
ssh:
  user: root
  password: ENC[PKCS7,...] # 用hiera-eyaml加密后的密码
  ip: ipaddrs

然后在Puppet中读取:

$ssh_user = lookup('ssh::user')
$ssh_password = lookup('ssh::password')
$ssh_ip = lookup('ssh::ip')

这样可以避免明文存储凭据,安全性更高。

内容的提问来源于stack exchange,提问作者Ashwini.G

火山引擎 最新活动

方舟 Coding Plan

HOT

模型自由,工具不限,最新支持 DeepSeek-V4 系列与 GLM-5.1,受邀下单叠加9.5折

查看详情

ArkClaw

7×24在线专属智能伙伴

查看详情

Seedance 2.0 全面开放 API

创作无限可能,一键生成电影级 AI 视频

查看详情

新用户特惠专场

大模型19元起,Al应用9.9元畅享,新人首购爆款尽享优惠

查看详情