Module file Ansible : gérer état, permissions, symlinks

Le module ansible.builtin.file est le couteau suisse des métadonnées de fichiers. Contrairement à copy:, il ne transfère aucun contenu — il agit uniquement sur l’existence, le mode, le propriétaire, le type (fichier, directory, symlink, hardlink). C’est le module idéal pour préparer une arborescence, créer un lien symbolique vers la release courante, ou supprimer un fichier obsolète.

file: se distingue par son option state: qui prend 6 valeurs : file, directory, absent, link, hard, touch. Maîtriser ces 6 états couvre 95% des cas d’usage.

Pressé ? Les 3 patterns du quotidien — avec sécurité

# Créer un répertoire applicatif (mode + owner + group explicites)
- ansible.builtin.file:
    path: /var/log/myapp
    state: directory
    owner: myapp
    group: myapp
    mode: "0750"            # rwxr-x---  : groupe peut lire, autres rien

# Répertoire pour secrets (mode strict 0700)
- ansible.builtin.file:
    path: /etc/myapp/secrets
    state: directory
    owner: myapp
    group: myapp
    mode: "0700"

# Symlink atomique vers la release courante
- ansible.builtin.file:
    src: /opt/myapp/releases/v1.0.0
    dest: /opt/myapp/current
    state: link
    owner: myapp
    group: myapp
    force: true

# Suppression d'un fichier obsolète
- ansible.builtin.file:
    path: /etc/old-config.conf
    state: absent

Sécurité non négociable :

• mode: toujours quoté ("0750"), sinon YAML décimal et permissions imprévisibles.
• owner: + group: explicites sur tout chemin système — ne jamais hériter du compte d’exécution.
• Mode 0700 pour les répertoires contenant des secrets (clés privées, tokens) ; 0750 pour des données applicatives accessibles au groupe ; 0755 pour du public en lecture.
• recurse: true à manier avec précaution — il propage mode: à tous les fichiers du sous-arbre, parfois de manière trop large.

6 valeurs de state: : file, directory, absent, link, hard, touch. Pas de transfert de contenu — pour ça, voir copy: ou template:.

Ce que vous allez apprendre

• Les 6 états possibles : file, directory, absent, link, hard, touch.
• Les options recurse: true, force: true et leurs cas d’usage.
• Quand file: suffit et quand il faut enchaîner avec copy: ou template:.
• Le piège des liens symboliques cassés (state: link sur cible inexistante).

Lab d'accompagnement

Cette page est jumelée au lab labs/modules-fichiers/file/ dans stephrobert/ansible-training. Détails et commandes en bas de page : Pratiquer dans le lab.

Prérequis

• Avoir lu Module copy — file: complète copy:, ne le remplace pas.

Les 6 états de state:

state: détermine ce que file: va faire. Chaque valeur a son cas d’usage et ses pièges.

state:	Action	Idempotence
file (défaut)	Vérifie que la cible est un fichier ; ajuste mode/owner si différent	ok si déjà fichier avec bonnes perms
directory	Crée le répertoire (et parents si besoin) avec mode/owner	ok si déjà directory avec bonnes perms
absent	Supprime le fichier ou le répertoire (récursif)	ok si déjà absent
link	Crée un lien symbolique : dest → src	ok si lien existe et pointe au bon endroit
hard	Crée un lien physique (hardlink) : dest et src partagent l’inode	ok si déjà hardlink
touch	Crée le fichier (vide) ou met à jour le mtime	toujours changed (timestamp à jour)

Glissez pour voir

touch est le seul état non-idempotent : il modifie systématiquement le mtime. Utiliser uniquement quand on veut explicitement marquer un timestamp (init, healthcheck).

Créer un répertoire — state: directory

- name: Repertoire de logs applicatifs
  ansible.builtin.file:
    path: /var/log/myapp
    state: directory
    owner: nobody
    group: nobody
    mode: "0750"

Si /var/log/myapp n’existe pas, il est créé. S’il existe avec mode 0755 et owner root, il est ajusté à 0750 + nobody. S’il existe déjà comme prévu, la tâche est ok.

Création récursive : par défaut, file: state: directory crée les répertoires parents manquants (équivalent mkdir -p). Pas besoin de tâche préalable pour /var/log/.

Liens symboliques — state: link

Pattern classique pour le déploiement par releases : /opt/myapp/current est un symlink vers la release active.

- name: Pointer current vers la release courante
  ansible.builtin.file:
    src: /opt/myapp/releases/v1.2.0
    dest: /opt/myapp/current
    state: link
    force: true

force: true est nécessaire si dest est déjà un fichier (non symlink) — sans force, la tâche échoue. Avec force, le fichier existant est remplacé par le symlink.

Piège lien cassé : si src n’existe pas au moment de la création, Ansible crée un symlink cassé sans erreur. Pour échouer si src est absent, ajouter une vérification préalable avec stat: + assert:.

Suppression — state: absent

- name: Nettoyer une ancienne config
  ansible.builtin.file:
    path: /etc/old-config.conf
    state: absent

absent est récursif : si path est un répertoire, tout est supprimé (équivalent rm -rf). À utiliser avec précaution — pas de --check automatique en production.

Récursivité — recurse: true

Uniquement valable pour state: directory. Propage mode/owner/group à toute l’arborescence.

- name: Reparer les permissions sur /etc/myapp
  ansible.builtin.file:
    path: /etc/myapp
    state: directory
    owner: root
    group: myapp
    mode: "0750"
    recurse: true

recurse: true est puissant mais lent sur de grosses arborescences (Ansible parcourt chaque inode). Pour un répertoire de 50K fichiers, préférer une commande shell unique avec chown -R.

Touch — créer ou mettre à jour le mtime

- name: Marquer le timestamp d init
  ansible.builtin.file:
    path: /var/log/myapp-init.timestamp
    state: touch
    mode: "0644"

Le fichier est créé vide s’il n’existe pas, ou son mtime mis à jour s’il existe. Utile pour des flags d’initialisation ou des healthchecks basés sur la date du fichier.

Pièges courants

Symptôme	Cause	Fix
Symlink cassé sans erreur	src n’existe pas au moment de state: link	Vérifier src avec stat: + assert: avant
mode: non appliqué récursivement	Oubli de recurse: true	Ajouter recurse: true (state=directory uniquement)
state: absent supprime tout un dossier sans warning	C’est le comportement par défaut (récursif)	Toujours tester en --check avant
force: true ignoré	Mauvais state: (force ne sert que pour link/hard)	force: true n’a d’effet que pour les liens

Glissez pour voir

À retenir

• file: gère les métadonnées uniquement — pour le contenu, utiliser copy: ou template:.
• state: = file / directory / absent / link / hard / touch — 6 cas couvrant 95% des besoins.
• recurse: true propage mode/owner sur toute l’arborescence (lent sur gros volumes).
• force: true n’a de sens que pour state: link ou hard — remplace un fichier existant.
• state: touch est le seul état non-idempotent — toujours changed.

Pratiquer dans le lab

Cette page a un lab d’accompagnement : labs/modules-fichiers/file/ dans stephrobert/ansible-training.

Challenge — sur web1.lab :

1. Créer /opt/myapp/releases/v1.0.0 avec mode 0755.
2. Créer /opt/myapp/shared/logs avec mode 0750, owner nobody.
3. Créer un symlink /opt/myapp/current → /opt/myapp/releases/v1.0.0.
4. Supprimer /etc/myapp-old.conf s’il existe.
5. Touch /var/log/myapp-init.timestamp mode 0644.

Validation pytest+testinfra :

ansible-playbook solution.yml
pytest -v labs/modules-fichiers/file/challenge/tests/

5 tests vérifient l’existence, le type (directory/symlink/file), le mode et l’owner.

Prochaines étapes

Module copy Le complément naturel de file: — pour transférer du contenu (ou écrire en inline)

Module blockinfile Quand vous voulez modifier un bloc dans un fichier existant — pas le remplacer

Module template Pour générer un fichier complet avec interpolation Jinja2 et validation

Pivot Modules Ansible Vue d'ensemble : modules builtin, posix, community.general, FQCN obligatoire

×

📖 Voir la documentation →