common-Rolle: Nicht mehr aktive und alle fremden SSH-Schlüssel löschen

[MPW1412]

Hallo,

gerade hatten wir den Fall, dass ein Schlüssel getauscht wurde. Dabei wird der alte Schlüssel nicht gelöscht, da line-in-file das denke ich nicht bemerkt.

Es sollten alle Schlüssel gelöscht werden, außer die, die Ansible gerade aufspielt.

Grüße

[Parad0xMS]

Das wäre gefährlich falls z.B. ein Schlüssel vom Besitzer manuell auf dem Server liegt und nicht im Ansible ist. So oft dürfte das nicht vorkommen oder? Daher können wir alternativ ja eine separate Rolle "Delete specific key" erstellen in dem der alte Key dann als Parameter mitgegeben wird.

[MPW1412]

Ich würde das automatisch machen. Unsere bisherige Politik war immer, nie manuelle Änderungen auf den Servern zu machen und dazu passt das eigentlich, dass die fremden automatisch gelöscht werden.

Dass man sich damit selbst aussperrt, kann passieren. Aber besser als wenn wirklich mal jemand unbefugtes Zugriff erhält.