Это мой вопрос. Меня беспокоит, что если Chef сломает что-то в файле sudoers, вероятно, из-за того, что пользователь Chef неправильно использует кулинарную книгу, то сервер будет полностью недоступен.
Я бы не хотел, чтобы мы полностью потеряли производственный сервер для клиента, потому что мы испортили файл sudoers и больше не можем подключиться к машине по ssh.
У Chef есть функция, которая помогает в этом, верификаторы. Вы можете настроить verifies в своем шаблоне sudoer следующим образом:
template '/etc/sudoers' do
source 'whatever.erb
verify 'visudo -c -f %{path}'
end
Если visudo отклоняет синтаксис, временный файл никогда не будет помещен на место, и сходимость завершится ошибкой. Конечно, это не поможет, если у вас есть синтаксически корректный, но бесполезный sudoers. Вы можете рассмотреть возможность использования структуры /etc/sudoers.d, так как она сохраняет каждый бит, по крайней мере, в некоторой степени разделенным, и вам сложнее случайно навредить себе.
' после источника;))
- person derHugo; 07.12.2017
sudoповаренную книгу, вам будет намного проще управлять файлом sudoers. как всегда, вы даже можете протестировать свою кулинарную книгу, в которой используетсяsudoкулинарная книга, с помощьюchefspec. - person Mr. schedule 16.05.2016