那些遇到过的问题

ansible:如何在centos 7上重新启动审计服务,但得到有关依赖的错误

Mat*_*uba 6 ansible centos7 systemctl

在我的剧本中,我有一个任务来更新audit.rules,然后通知处理程序,该处理程序应重新启动已审计的服务。

task:
  - name:  6.6.7 - audit rules configuration
    template: src=X/ansible/templates/auditd_rules.j2
              dest=/etc/audit/rules.d/audit.rules
              backup=yes
              owner=root group=root mode=0640
     notify:
   - restart auditd


  handlers:
    - name: restart auditd
      service: name=auditd state=restarted
Run Code Online (Sandbox Code Playgroud)

当剧本运行时,审核规则将更新,并发出重新启动auditd的请求,但这失败,如下所示。

RUNNING HANDLER [restart auditd] ***********************************************
fatal: [ipX-southeast-2.compute.internal]: FAILED! => {"changed": false, "failed": true, "msg": "Unable to restart service auditd: Failed to restart auditd.service: Operation refused, unit auditd.service may be requested by dependency only.\n"}
Run Code Online (Sandbox Code Playgroud)

当我查看审计的单位定义时,可以看到rejectManualStop = yes。这就是为什么我无法重启服务吗?如何克服这一点以采纳新的审核规则?

 systemctl cat auditd.service
# /usr/lib/systemd/system/auditd.service
[Unit]
Description=Security Auditing Service
DefaultDependencies=no
After=local-fs.target systemd-tmpfiles-setup.service
Conflicts=shutdown.target
Before=sysinit.target shutdown.target
RefuseManualStop=yes
ConditionKernelCommandLine=!audit=0
Documentation=man:auditd(8) https://people.redhat.com/sgrubb/audit/

[Service]
ExecStart=/sbin/auditd -n
## To not use augenrules, copy this file to /etc/systemd/system/auditd.service
## and comment/delete the next line and uncomment the auditctl line.
## NOTE: augenrules expect any rules to be added to /etc/audit/rules.d/
ExecStartPost=-/sbin/augenrules --load
#ExecStartPost=-/sbin/auditctl -R /etc/audit/audit.rules
ExecReload=/bin/kill -HUP $MAINPID
# By default we don't clear the rules on exit. To enable this, uncomment
# the next line after copying the file to /etc/systemd/system/auditd.service
#ExecStopPost=/sbin/auditctl -R /etc/audit/audit-stop.rules

[Install]
WantedBy=multi-user.target
Run Code Online (Sandbox Code Playgroud)

0xS*_*dog 8

Red Hat Bugzilla#1026648Anisble Issue#22171(github)报告中(大多数)已经对此进行了探讨,讨论和解决。

解析度

  • 使用ansible service模块参数use=service来强制执行该/sbin/service实用程序,而不是像这样systemd(调用/sbin/systemctl)收集事实值:
    • - service: name=auditd state=restarted use=service
  • 剧本范例(pastebin.com)

解决方法:

  • 使用ansible command模块来显式运行服务可执行文件,如下所示:
    • - command: /sbin/service auditd restart

分析-根本原因:

  • 这是由auditd.service单元的上游打包引起的问题。systemctl显然是设计使然,它不会启动/停止/重新启动。
  • Ansible服务控制功能进一步使其复杂化,该功能使用在收集系统事实并且“ ansible_service_mgr”返回“ systemd”时标识的首选方法。这与用于管理service.unit的实际模块无关。
  • 如果在即将进行的更新(ERRATA)中有问题,RHEL开发团队可能会修复
  • Ansible开发团队提供了一种解决方法,并且(从2.2版本开始)service使用use参数更新了模块。

  • 看来“use”参数不起作用。ansible 报告重新启动任务已运行,但“systemctl statusauditd”显示服务未重新启动。这是 CentOS 7.6 上的 ansible 2.7。 (2认同)

归档时间:

查看次数:

12888 次

最近记录:

7 年,4 月 前
重新启动auditd服务会出现依赖错误 4
更多相关链接
相关归档
Ansible with_dict 需要一个 dict 7
我无法通过我的ansible主机验证AD到Windows机器.在Ubuntu 16.10上的"Kerberos数据库中找不到服务器" 6
ansible使用循环和多个变量 5
使用 Ansible 在正在运行的 Docker 容器内运行 shell 命令 5
有什么方法可以使用 Ansible Tower Rest API 获取作业的日志/输出 5
ansible shell 转义单引号和双引号 4
ansible 和 ansible-galaxy 有什么区别 2
Dockerfile ADD不起作用 2
在 Ansible 模板中加入键值对列表 2
如何用一行创建一个文件? 1
难疑归档
使用Git将最近的提交移动到新分支 4647
C#的正确版本号是多少? 2422
从字典中删除元素 1243
循环遍历Bash中的文件内容 1242
如何在Java中将数字舍入到n个小数位 1209
哪个MySQL数据类型用于存储布尔值 1168
简单的面试问题变得更难:给出数字1..100,找到丢失的数字 1115
在Ruby on Rails中对nil v.空v.空白的简要解释 1098
字段和属性之间有什么区别? 1032
测量Python中经过的时间? 1031