Ansible user 模块改密码失败的根本原因是需传加密哈希而非明文;禁用账户应设 password: “!”;group 指定主组,groups 指定附加组;改 shell 前须确保其存在于 /etc/shells。
Ansible user 模块改密码为什么总失败?
根本原因不是密码格式不对,而是 Ansible 默认用 password 参数传明文,但 Linux 系统要求的是加密后的密码哈希(比如 SHA-512)。直接填 password: "mypass" 会把明文写进 /etc/shadow,下次登录就报 Authentication failure。
- 必须用
password参数传哈希值,不是明文 —— 可用 Python 的passlib或命令行mkpasswd --method=sha-512生成 - Ansible 2.9+ 建议优先用
update_password: on_create配合password,避免每次运行都重置密码 - 如果用
shell模块调chpasswd,注意换行符和权限:echo "user:hash" | chpasswd -e中的-e表示已加密,漏掉就当明文处理
批量禁用账户该用 user 还是 shell?
用 user 模块设 state: absent 是删账户,不是禁用;真要禁用(保留家目录、只锁登录),得改 /etc/shadow 里密码字段 —— user 模块支持 password: "!" 或 "*",但要注意:! 表示密码被锁,* 表示无密码且不可登录(部分发行版如 CentOS 7 不认 *)。
-
user模块设password: "!"最稳妥,兼容 Debian/Ubuntu/CentOS - 别用
shell直接 sed /etc/shadow —— 权限风险高,且 Ansible 并发执行时可能冲突 - 禁用后记得关 SSH 密码登录:检查
/etc/ssh/sshd_config的PasswordAuthentication,否则 PAM 仍可能放行
Ansible 批量加用户时 group 和 groups 有什么区别?
group 决定用户的主组(/etc/passwd 第 4 字段),groups 是附加组(写入 /etc/group),二者不互斥。常见错误是只设 groups 忘了 group,导致用户创建后主组变成 nogroup 或 nobody,权限继承出问题。
-
group: "dev"→ 用户主组为 dev,自动在 /etc/group 创建 dev 组(如果不存在) -
groups: "docker,adm"→ 把用户加入 docker 和 adm 组,但不会创建这些组(需提前确保存在) - 若主组已存在但没指定
group,Ansible 默认用用户名同名组;想跳过建组,加create_home: no和group: "users"显式指定
为什么 user 模块在 CentOS 8 上改 shell 总被还原?
因为 CentOS 8 默认启用了 systemd-logind 的 session 管理,它会监听 /etc/passwd 变更并强制同步到自己的数据库;更关键的是,某些安全加固策略(如 CIS Benchmark)会配置 PAM 拦截非白名单 shell,比如把 /bin/zsh 写进 /etc/shells 之前就用 user 模块设 shell: /bin/zsh,结果下次登录时被拒绝,日志里是 PAM: User not allowed to log in。
- 先确保目标 shell 在
/etc/shells里:用lineinfile模块追加,而不是靠user模块自动处理 - 改 shell 后建议加一步验证:用
command模块跑getent passwd username | cut -d: -f7 - 如需统一 shell 策略,优先用
ansible.builtin.lineinfile改/etc/default/useradd的SHELL=行,比逐个用户设更可控
真正麻烦的不是语法,是每个发行版对 shadow 格式、PAM 规则、systemd session 的隐式约束 —— 跑前最好在目标系统上手动试一遍对应操作,再把命令翻译成模块参数。
