サービス アカウントがパスワードなしの sudo を実行できる場合は、そのアカウントへのアクセスを保護する必要があります。
アカウントを持っていない パスワードを持っていて、ssh 鍵だけを使用してログインすることで、ssh 秘密鍵も安全に保つことができれば、これを実現できます。
(2) で作成した新しいユーザーは、パスワードなしで SSH キーのみでログインできます。 SSH キーは、間接的なルート アクセスを提供します。したがって、これはキーによるルート ログインを許可することと同じです。
アカウントにパスワードがないため、sudo を持つことはできません パスワードを要求します。また、Ansible はコマンドを実行できる必要があります。キーと同じ場所に追加のパスワードを指定しても、セキュリティは向上しません。
問題は、ansible は管理者と自動化のためのものであるため、スクリプトを実行するためにパスワードを入力する必要がある場合、実際には最善の方法ではありません。また、sudo のパスワードをファイルまたはデータベースに保存し、プレイブックを実行するたびに取得するのは安全ではありません。したがって、パスワードなしの sudo と ssh キーを使用した認証の組み合わせは、プレイブックを実行してセキュリティを確保し、適切な問題を回避するための最良の方法です。また、あなたは管理者であり、プレイブックで何をプログラミングしているかを知っています。そのため、プレイブックはサーバーを破壊できません。