Usar Puppet para eliminar claves SSH no permitidas explícitamente

Estoy usando una marioneta para distribuir claves SSH, así:

ssh_authorized_key { "alice@foo.com":
   ensure => present,
   key => 'xxxx',
   type => 'ssh-rsa',
   user => 'deploy',
}

El archivo ~ / .ssh / optional_keys termina conteniendo una combinación de claves de múltiples clases, que es el resultado deseado. Sin embargo, si una clave se agrega manualmente a $ HOME / .ssh / Authorized_keys, Puppet la dejará en su lugar. ¿Hay alguna manera de eliminar siempre cualquier clave que no se haya definido explícitamente en un manifiesto?

Tengo la versión de títeres 2.7.1.

Comenzando con Puppet 3.6 ahora es posible purgar las claves autorizadas SSH no administradas a través del usertipo. Por ejemplo,

user { 'nick':
  ensure         => present,
  purge_ssh_keys => true,
}

En lugar de usar ssh_authorized_keyrecursos, decidí definir un authorized_keysrecurso, que toma una lista de todas las claves SSH para un solo usuario. La definición se ve así:

define authorized_keys ($sshkeys, $ensure = "present", $home = '') {
    # This line allows default homedir based on $title variable.
    # If $home is empty, the default is used.
    $homedir = $home ? {'' => "/home/${title}", default => $home}
    file {
        "${homedir}/.ssh":
            ensure  => "directory",
            owner   => $title,
            group   => $title,
            mode    => 700,
            require => User[$title];
        "${homedir}/.ssh/authorized_keys":
            ensure  => $ensure,
            owner   => $ensure ? {'present' => $title, default => undef },
            group   => $ensure ? {'present' => $title, default => undef },
            mode    => 600,
            require => File["${homedir}/.ssh"],
            content => template("authorized_keys.erb");
    }
}

$ssh_keysEl parámetro toma todas las claves necesarias como una lista. La authorized_keys.erbplantilla se ve así:

# NOTICE: This file is autogenerated by Puppet and should not be modified
<% sshkeys.each do |key| -%>
<%= key %>
<% end -%>

Uso

user {'mikko':
    ...
}
authorized_keys {'mikko':
    sshkeys => [
        'ssh-rsa XXXXXXYYYYYYYYYZZZZZZZZZ mikko@domain.tld',
        'ssh-rsa XXXXXXZZZZZZZZZHHHHHHHHH mikko@other-host.tld',
    ],
}

Agregar claves SSH condicionalmente (por ejemplo, en diferentes clases) también es fácil, gracias al +>operador de Puppet :

Authorized_keys <| title == 'mikko' |> {
    sshkeys +> 'ssh-rsa ASDFASDFASDFASDF mikko@somewhere-else.tld'
}

Con este método, el usuario nunca tendrá claves que no estén especificadas explícitamente en la configuración de Puppet. La cadena de clave se usa en claves_autorizadas tal como es, por lo que agregar opciones y restricciones es trivial.

Me encantaría saber si otros han utilizado este método con éxito.

Debería poder hacer esto utilizando el metatipo de recursos . P.EJ

resources { 'ssh_authorized_key': noop => true, purge => true, }

La configuración noop => true,evita que se realice la eliminación. En cambio, la marioneta informará lo que se eliminaría. Si es lo que desea, elimine la declaración noop .

La sintaxis ideal para realizar operaciones en recursos no administrados está en discusión .

EDITAR: Como se menciona en los comentarios, esta respuesta no funciona.

En Puppet Forge se ha publicado un módulo bajo la licencia Apache, versión 2.0 que ofrece esta capacidad.

Sin embargo, se basa en Puppet concat en lugar de plantillas.

https://github.com/nightfly19/puppet-ssh_keys/tree/master/manifests

En lugar de pasar una matriz de claves como parámetro, define entradas separadas para cada clave.

Enfoque diferente al de Mikko, pero el mismo resultado neto.