Usando o Puppet para remover chaves SSH não permitidas explicitamente

Estou usando o fantoche para distribuir chaves SSH, assim:

ssh_authorized_key { "alice@foo.com":
   ensure => present,
   key => 'xxxx',
   type => 'ssh-rsa',
   user => 'deploy',
}

O arquivo ~ / .ssh / allowed_keys acaba contendo uma mistura de chaves de várias classes, que é o resultado desejado. No entanto, se uma chave for adicionada manualmente a $ HOME / .ssh / allowed_keys, o Puppet a deixará no lugar. Existe uma maneira de sempre remover qualquer chave que não tenha sido explicitamente definida em um manifesto?

Eu tenho a versão fantoche 2.7.1.

A partir do Puppet 3.6, agora é possível limpar chaves autorizadas de SSH não gerenciadas através do usertipo. Por exemplo,

user { 'nick':
  ensure         => present,
  purge_ssh_keys => true,
}

Em vez de usar ssh_authorized_keyrecursos, decidi definir um authorized_keysrecurso, que leva uma lista de todas as chaves SSH para um único usuário. A definição é assim:

define authorized_keys ($sshkeys, $ensure = "present", $home = '') {
    # This line allows default homedir based on $title variable.
    # If $home is empty, the default is used.
    $homedir = $home ? {'' => "/home/${title}", default => $home}
    file {
        "${homedir}/.ssh":
            ensure  => "directory",
            owner   => $title,
            group   => $title,
            mode    => 700,
            require => User[$title];
        "${homedir}/.ssh/authorized_keys":
            ensure  => $ensure,
            owner   => $ensure ? {'present' => $title, default => undef },
            group   => $ensure ? {'present' => $title, default => undef },
            mode    => 600,
            require => File["${homedir}/.ssh"],
            content => template("authorized_keys.erb");
    }
}

$ssh_keysO parâmetro usa todas as chaves necessárias como uma lista. O authorized_keys.erbmodelo fica assim:

# NOTICE: This file is autogenerated by Puppet and should not be modified
<% sshkeys.each do |key| -%>
<%= key %>
<% end -%>

Uso

user {'mikko':
    ...
}
authorized_keys {'mikko':
    sshkeys => [
        'ssh-rsa XXXXXXYYYYYYYYYZZZZZZZZZ mikko@domain.tld',
        'ssh-rsa XXXXXXZZZZZZZZZHHHHHHHHH mikko@other-host.tld',
    ],
}

Adicionar chaves SSH condicionalmente (por exemplo, em diferentes classes) também é fácil, graças ao +>operador do Puppet :

Authorized_keys <| title == 'mikko' |> {
    sshkeys +> 'ssh-rsa ASDFASDFASDFASDF mikko@somewhere-else.tld'
}

Com esse método, o usuário nunca terá chaves que não estão especificadas explicitamente na configuração do Puppet. A cadeia de teclas é usada em chaves_autorizadas assim como é, portanto, adicionar opções e restrições é trivial.

Ficaria feliz em saber se outras pessoas usaram esse método com sucesso!

Você deve conseguir fazer isso usando o metatipo de recursos . POR EXEMPLO

resources { 'ssh_authorized_key': noop => true, purge => true, }

A configuração noop => true,impede que a remoção ocorra. Em vez disso, o fantoche informará o que seria removido. Se for o que você deseja, remova a instrução noop .

A sintaxe ideal para executar operações em recursos não gerenciados está em discussão .

EDIT: Como mencionado nos comentários, esta resposta não funciona.

No Puppet Forge, um módulo foi publicado sob a Licença Apache, versão 2.0, que oferece essa capacidade.

Depende do Puppet concat em vez de modelos.

https://github.com/nightfly19/puppet-ssh_keys/tree/master/manifests

Em vez de passar uma matriz de chaves como parâmetro, você define entradas separadas para cada chave.

Abordagem diferente da de Mikko, mas mesmo resultado líquido.