Ansible Tower / AWX / Automation controller Security

学习与实践 AWS 黑客技术：HackTricks 培训 AWS 红队专家 (ARTE) 学习与实践 GCP 黑客技术：HackTricks 培训 GCP 红队专家 (GRTE)

支持 HackTricks

查看 订阅计划!
加入 💬 Discord 群组 或 Telegram 群组 或关注我们的 Twitter 🐦 @hacktricks_live.
通过向 HackTricks 和 HackTricks Cloud GitHub 仓库提交 PR 分享黑客技巧。

基本信息

Ansible Tower 或其开源版本 AWX 也被称为 Ansible 的用户界面、仪表板和 REST API。通过 基于角色的访问控制、作业调度和图形化库存管理，您可以通过现代 UI 管理您的 Ansible 基础设施。Tower 的 REST API 和命令行界面使其易于集成到当前工具和工作流程中。

Automation Controller 是 Ansible Tower 的一个更新版本，具有更多功能。

区别

根据 这篇文章，Ansible Tower 和 AWX 之间的主要区别在于获得的支持，Ansible Tower 具有额外的功能，如基于角色的访问控制、对自定义 API 的支持和用户定义的工作流。

技术栈

Web 界面：这是用户可以管理库存、凭据、模板和作业的图形界面。它旨在直观，并提供可视化以帮助理解自动化作业的状态和结果。
REST API：您可以在 Web 界面中执行的所有操作，您也可以通过 REST API 执行。这意味着您可以将 AWX/Tower 与其他系统集成或编写通常在界面中执行的操作脚本。
数据库：AWX/Tower 使用数据库（通常是 PostgreSQL）来存储其配置、作业结果和其他必要的操作数据。
RabbitMQ：这是 AWX/Tower 用于在不同组件之间通信的消息系统，特别是在 Web 服务和任务运行器之间。
Redis：Redis 作为缓存和任务队列的后端。

逻辑组件

库存：库存是一个 主机（或节点）的集合，可以对其 运行作业（Ansible 剧本）。AWX/Tower 允许您定义和分组库存，并支持动态库存，可以 从其他系统获取主机列表，如 AWS、Azure 等。
项目：项目本质上是一个 Ansible 剧本的集合，来源于 版本控制系统（如 Git），以便在需要时提取最新的剧本。
模板：作业模板定义 特定剧本将如何运行，指定库存、凭据和其他参数。
凭据：AWX/Tower 提供了一种安全的方式来 管理和存储秘密，如 SSH 密钥、密码和 API 令牌。这些凭据可以与作业模板关联，以便剧本在运行时具有必要的访问权限。
任务引擎：这是魔法发生的地方。任务引擎基于 Ansible 构建，负责 运行剧本。作业被分派到任务引擎，然后使用指定的凭据在指定的库存上运行 Ansible 剧本。
调度程序和回调：这些是 AWX/Tower 中的高级功能，允许 作业在特定时间调度运行 或由外部事件触发。
通知：AWX/Tower 可以根据作业的成功或失败发送通知。它支持多种通知方式，如电子邮件、Slack 消息、webhooks 等。
Ansible 剧本：Ansible 剧本是配置、部署和编排工具。它们以自动化、可重复的方式描述系统的期望状态。剧本使用 YAML 编写，利用 Ansible 的声明性自动化语言描述需要执行的配置、任务和步骤。

作业执行流程

用户交互：用户可以通过 Web 界面 或 REST API 与 AWX/Tower 交互。这些提供了对 AWX/Tower 提供的所有功能的前端访问。
作业启动：

用户通过 Web 界面或 API，根据 作业模板 启动作业。
作业模板包括对库存、项目（包含剧本）和凭据的引用。
在作业启动时，向 AWX/Tower 后端发送请求以将作业排队执行。

作业排队：

RabbitMQ 处理 Web 组件与任务运行器之间的消息传递。一旦作业启动，消息将通过 RabbitMQ 发送到任务引擎。
Redis 作为任务队列的后端，管理等待执行的排队作业。

作业执行：

任务引擎 拾取排队的作业。它从 数据库 中检索与作业相关的剧本、库存和凭据的必要信息。
使用从相关项目中检索的 Ansible 剧本，任务引擎在指定的库存节点上使用提供的凭据运行剧本。
当剧本运行时，其执行输出（日志、事实等）被捕获并存储在 数据库 中。

作业结果：

一旦剧本完成运行，结果（成功、失败、日志）将保存到 数据库 中。
用户可以通过 Web 界面查看结果或通过 REST API 查询结果。
根据作业结果，可以发送通知以告知用户或外部系统作业的状态。通知可以是电子邮件、Slack 消息、webhooks 等。

外部系统集成：

库存可以从外部系统动态获取，允许 AWX/Tower 从 AWS、Azure、VMware 等来源提取主机。
项目（剧本）可以从版本控制系统中获取，确保在作业执行期间使用最新的剧本。
调度程序和回调 可用于与其他系统或工具集成，使 AWX/Tower 对外部触发器做出反应或在预定时间运行作业。

AWX 实验室创建以进行测试

按照文档 可以使用 docker-compose 运行 AWX：

git clone -b x.y.z https://github.com/ansible/awx.git # Get in x.y.z the latest release version

cd awx

# Build
make docker-compose-build

# Run
make docker-compose

# Or to create a more complex env
MAIN_NODE_TYPE=control EXECUTION_NODE_COUNT=2 COMPOSE_TAG=devel make docker-compose

# Clean and build the UI
docker exec tools_awx_1 make clean-ui ui-devel

# Once migrations are completed and the UI is built, you can begin using AWX. The UI can be reached in your browser at https://localhost:8043/#/home, and the API can be found at https://localhost:8043/api/v2.

# Create an admin user
docker exec -ti tools_awx_1 awx-manage createsuperuser

# Load demo data
docker exec tools_awx_1 awx-manage create_preload_data

RBAC

支持的角色

权限最高的角色称为 系统管理员。拥有此角色的任何人都可以 修改任何内容。

从 白盒安全 审查的角度来看，您需要 系统审计员角色，该角色允许 查看所有系统数据，但不能进行任何更改。另一个选择是获取 组织审计员角色，但获取前者会更好。

展开以获取可用角色的详细描述

系统管理员：

这是超级用户角色，具有访问和修改系统中任何资源的权限。
他们可以管理所有组织、团队、项目、库存、作业模板等。

系统审计员：

拥有此角色的用户可以查看所有系统数据，但不能进行任何更改。
此角色旨在用于合规性和监督。

组织角色：

管理员：对组织资源的完全控制。
审计员：对组织资源的只读访问。
成员：在组织中的基本成员，没有任何特定权限。
执行：可以在组织内运行作业模板。
读取：可以查看组织的资源。

项目角色：

管理员：可以管理和修改项目。
使用：可以在作业模板中使用项目。
更新：可以使用 SCM（源代码管理）更新项目。

库存角色：

管理员：可以管理和修改库存。
临时：可以在库存上运行临时命令。
更新：可以更新库存源。
使用：可以在作业模板中使用库存。
读取：只读访问。

作业模板角色：

管理员：可以管理和修改作业模板。
执行：可以运行作业。
读取：只读访问。

凭证角色：

管理员：可以管理和修改凭证。
使用：可以在作业模板或其他相关资源中使用凭证。
读取：只读访问。

团队角色：

成员：团队的一部分，但没有任何特定权限。
管理员：可以管理团队的成员和相关资源。

工作流角色：

管理员：可以管理和修改工作流。
执行：可以运行工作流。
读取：只读访问。

支持 HackTricks

查看 订阅计划!
加入 💬 Discord 群组 或 Telegram 群组 或 在 Twitter 上关注 🐦 @hacktricks_live.
通过向 HackTricks 和 HackTricks Cloud GitHub 仓库提交 PR 来分享黑客技巧。

PreviousSupabase Security NextTODO

Last updated 3 days ago