配置管理工具如何处理人为破坏配置文件的人？

Question

我正在研究一些配置管理工具，如盐、厨师、木偶、Ansible等，并试图了解他们如何直接处理某个人手动更改服务器上的配置文件：

1. 由CM工具直接管理的配置文件，例如。nginx/apache/Postgres配置文件
2. 系统隐式依赖的配置文件，但不是由CM工具直接管理(也就是说，它使用底层操作系统提供的任何默认值)，例如。rsyslog配置文件。

这些工具是否快照/校验/etc (及类似的)文件夹中的所有文件，并在系统管理人员背后发生更改时提醒系统管理员？

PS:我现在的心理模型是不可变的配置文件&如下所示，比如nix

Answer 1

如果该文件被标记为由配置管理工具管理，它处理的是一些人为地破坏配置文件的人，这些配置文件被倒霉的管理员人为地破坏，方法是使用金佳或ERB模板之类的方法破坏配置文件。

虽然当配置管理工具在几分钟或几小时内破坏了旧式UNIX管理员的更改时，这往往会让他们感到沮丧，但(我也见过一些使用扩展文件属性来攻击此文件。之类的东西)，它的优势在于它执行了牛-不-宠物思想，2)自文档化部署--考虑到这一因素在5到10年后需要系统升级时，可能需要搜索数百个配置文件，例如主机文件、限制文件、日志文件、syslog文件、systemctl默认文件、firewalld/iptables配置文件、selinux文件、cron文件等等，这一因素被大大低估了。可能需要考虑使用“宠物”部署理念的更多。

10次中有9次来自于懒散/不愿意学习新的配置管理技术。尽管如此，我强烈建议，如果要使用配置管理工具管理配置文件，可以使用盐类、主厨、木偶、Ansible等来标记以下事实:您已经接管了所述配置文件的管理，这样管理员就不会在任何可能和尽可能频繁的情况下完全盲目。

您还可以支持附加配置- EG，我已经使用salt来管理rsyslog.conf和/etc/rsyzab.d/中的一些文件，但不是所有文件。这允许一组基本的默认设置，同时仍然支持使用配置管理工具(barf)进行一些定制，从而允许您使用“吃你的蛋糕，把它也吃掉”。

Answer 2

对于Ansible，它不会对您进行管理，您可以使用以下选项。

您所依赖的配置文件，但在默认情况下，您必须将其添加到配置中。

文件的存在干扰您将不得不广告一条规则: state=absent，例如，我使用Ansible配置一个灯服务器，并需要管理一个被删除的网站列表。

对于要在文件中更改行的位置，还可能需要添加行以删除。