ルートパスワードがAnsibleで変更をトリガーするのを防ぐ方法は?

ルートパスワードがAnsibleで変更をトリガーするのを防ぐ方法は?

Ansible PlayBookを実行すると、常に次のような結果が得られます。

TASK [set password] ****************************************************************
changed: [10.1.38.15]

ログエントリとして。パスワードが既に設定されているので表示したくありません。これを簡単に追跡する方法はありますか?

私のゲームプレイは

- name: set password                                                            
  run_once: true                                                                
  user:                                                                         
    name: root                                                                  
    password: "{{ 'bleh' | password_hash('sha512') }}"                      
    expires: -1

run_once私は他の人が言及したことを見たことを試してみました。

答え1

これがすぐに起こるべきことです。ただし、毎回同じ暗号化されたパスワードを渡す必要はありません。password_hash2番目のパラメータとしてソルトを渡すことができます。存在しない場合は、ランダムに生成された項目が生成されます。 (ソルトは事前に計算された辞書攻撃を防ぐために使用されるため、blehハッシュ値は毎回異なります)

比較する:

ansible all -i localhost, -m debug -a "msg={{ 'mypassword' | password_hash('sha256') }}"

何度も実行すると結果が変わり、

ansible all -i localhost, -m debug -a "msg={{ 'mypassword' | password_hash('sha512', 'mysecretsalt') }}"

塩を固定したので、結果は同じままです。

関連情報