Resolve "fix: bootstrap disable distrib user"

d5a2d2d7 · Arthur BOUDREAULT · Thomas MICHEL · e9d49b70 · d5a2d2d7 · d5a2d2d7
Commit d5a2d2d7 authored 2 months ago by Arthur BOUDREAULT Committed by Thomas MICHEL 2 months ago
--- a/README.md
+++ b/README.md
@@ -231,6 +231,25 @@ lint

 Le contrôle sera fait par un `ansible-playbook --syntax-check` puis un `ansible-lint [...]` sur chacun des fichiers Yaml.

+### Playbook : `bootstrap_users.yml`
+
+Avant de lancer le provisionnement du serveur, il est nécessaire de créer les utilisateurs linux indispensables. Le playbook `bootstrap_users.yml` gère la création des utilisateurs (dont l’utilisateur de déploiement) via le rôle `singleplatform-eng.users` et désactive l’utilisateur de distribution par défaut (`distrib_user`) pour renforcer la sécurité. Une fois exécuté, on peut passer au reste du provisionnement.
+
+**Exécution :**
+
+```bash
+bootstrap <env_type>
+```
+
+**Variables requises :**
+
+- `distrib_user` : nom de l’utilisateur à désactiver.
+
+**Résumé :**
+
+- Crée les utilisateurs définis.
+- Désactive l’utilisateur de distribution si précisé.
+
 ### Provisionner l'infrastructure

 Il faut lancer cette commande à chaque fois que l'on souhaite appliquer des changements globaux d'infrastructure :

--- a/ansible/bin/bootstrap
+++ b/ansible/bin/bootstrap
--- a/ansible/bootstrap_users.yml
+++ b/ansible/bootstrap_users.yml
+---
+- name: Create users (including deploy user)
+  hosts: all
+  gather_facts: false
+  become: true
+  tags:
+    - bootstrap
+  vars:
+    ansible_ssh_user: "{{ distrib_user }}"
+
+  roles:
+    - singleplatform-eng.users
+
+  tasks:
+    - name: Disable distrib user
+      ansible.builtin.user:
+        name: "{{ distrib_user }}"
+        shell: /usr/sbin/nologin
+        password_lock: true
--- a/ansible/common.yml
+++ b/ansible/common.yml
@@ -60,10 +60,3 @@
        regexp: 'network:'
        line: "network: {config: disabled}"
        state: present
-
-    - name: Add Debian deploy SSH keys
-      ansible.posix.authorized_key:
-        user: "{{ ansible_user }}"
-        key:  "{{ item.ssh_key }}"
-      when: item.is_sysadmin
-      with_items: "{{ users }}"
--- a/ansible/group_vars/all/common.yml
+++ b/ansible/group_vars/all/common.yml
@@ -15,7 +15,9 @@ users:
    name:                     "{{ ansible_ssh_user }}"
    group:                    "{{ admin_group }}"
    ssh_key:
-      - "{{ lookup('file', './files/ssh/team/dummy@example.com.pub') }}"
+      - "{{ lookup('file', './files/ssh/team/thomas@lydra.fr.pub') }}"
+      - "{{ lookup('file', './files/ssh/team/christophe@lydra.fr.pub') }}"
+      - "{{ lookup('file', './files/ssh/team/arthur@lydra.fr.pub') }}"

  - username:                 "thomas@lydra.fr"
    name:                     "Thomas MICHEL"

--- a/ansible/group_vars/all/main.yml
+++ b/ansible/group_vars/all/main.yml
 ---
 ansible_python_interpreter: /usr/bin/python3
 ansible_port:       22
-ansible_ssh_user:   deploy
+ansible_ssh_user:   "deploy"

 env_type:           "{{ inventory_file.split('/')[-1] }}"

 # Utilisateurs et groupes
 admin_group:        "admins"
 admin_mail:         "support@lydra.fr"
+distrib_user:       "debian"

 # Network vars
 netplan_nameserver_primary_ipv4:    "9.9.9.10"              # Quad 9: unfiltered, DoT and no DNSSec