Dans cet article, je vous pr\u00e9senterai un outil TRES pratique pour \u00e9diter des secrets obfusqu\u00e9s par ansible-vault.<\/p>\n\n\n\n
Nous avons deux possibilit\u00e9s avec Ansible pour g\u00e9rer des secrets:<\/p>\n\n\n\n
Dans ce cas, c’est tr\u00e8s simple. On prend un fichier, on saisit le contenu, et une fois le param\u00e9trage fait pour le mot de passe de chiffrement on utilise la commande:<\/p>\n\n\n
korogoth<\/span>@korosrv<\/span> ~: echo \"foo: bar\"<\/span> > mon_fichier_secret.yml\nkorogoth@korosrv ~: ansible-vault encrypt mon_fichier_secret.yml<\/code><\/span>Langage du code\u00a0:<\/span> CSS<\/span> (<\/span>css<\/span>)<\/span><\/small><\/pre>\n\n\nC’est facile, mais d\u00e8s lors, on ne peut plus voir les cl\u00e9s YAML, car le contenu ressemble \u00e0 ceci:<\/p>\n\n\n
korogoth<\/span>@korosrv<\/span> ~: cat mon_fichier_secret.yml\n$ANSIBLE_VAULT;1.1<\/span>;AES256<\/span>\n61663861633532356133666366666462623834616166303730376233646666353338353236313737\n3164613037633861646162636330316462306537336334650a376364653463306534333335656534<\/span>\n36643334643436613666326230366464653864643861336262326434643534323063393462323831\n6431373231383262380a653261366164333134626530633562613932623966636563306663633839<\/span>\n3730<\/code><\/span>Langage du code\u00a0:<\/span> CSS<\/span> (<\/span>css<\/span>)<\/span><\/small><\/pre>\n\n\nDu coup, on ne peut pas transmettre un fichier tel quel pour une personne qui devrait conna\u00eetre les cl\u00e9s du fichier mais pas les valeurs afin de cr\u00e9er leur propre fichier.<\/p>\n\n\n\n
Pour cela on va choisir d’obfusquer uniquement les valeurs<\/p>\n\n\n\n
Obfusquer les valeurs uniquement<\/h3>\n\n\n\n
Dans ce cas, on utilisera une autre commande:<\/p>\n\n\n
korogoth<\/span>@korosrv<\/span> ~: ansible-vault encrypt_string --name foo bar > mon_fichier_secret.yml<\/code><\/span>Langage du code\u00a0:<\/span> CSS<\/span> (<\/span>css<\/span>)<\/span><\/small><\/pre>\n\n\nVous aurez donc ceci dans le fichier:<\/p>\n\n\n
korogoth<\/span>@korosrv<\/span> ~: cat mon_fichier_secret.yml\nfoo:<\/span> !vault |\n $ANSIBLE_VAULT;1.1<\/span>;AES256<\/span>\n 37316333303436306463633439393336353834346131343037323064356163383839356564393133\n 3839623665663732313564653265346136323135323931620a656439303663353963666661653033<\/span>\n 35353661623437383136626463626130653833646138633532303331323061623431353462383665\n 6136643731336631630a663064616539356630376362353830653336616435396530663137373761<\/span>\n 3633<\/code><\/span>Langage du code\u00a0:<\/span> CSS<\/span> (<\/span>css<\/span>)<\/span><\/small><\/pre>\n\n\nMais en revanche, il sera impossible d’ouvrir ce fichier \u00e0 nouveau pour l’\u00e9diter avec ansible-vault<\/p>\n\n\n
korogoth<\/span>@korosrv<\/span> ~: ansible-vault edit mon_fichier_secret.yml\n[WARNING]:\nThere was a vault format error:<\/span> Vault format unhexlify error:<\/span> Non-hexadecimal digit found\nERROR! Vault format unhexlify error:<\/span> Non-hexadecimal digit found for \/home\/korogoth\/mon_fichier_secret.yml<\/code><\/span>Langage du code\u00a0:<\/span> CSS<\/span> (<\/span>css<\/span>)<\/span><\/small><\/pre>\n\n\n