ansible-selinux-role

Ermöglicht die Konfiguration von SELinux.

Konfigurationsoptionen:

• Richtlinie
• Zustand
• Booleans
• Ports
• fcontexts

Anforderungen

Getestet nur auf RHEL 7 und CentOS 7.

Ansible 2.0 oder höher

Rollenvariablen

Es ist nicht notwendig, alle diese Variablenblöcke zu verwenden, du kannst nur die Konfigurationsoptionen nutzen, die du wirklich benötigst.

Die folgenden Variablen werden verwendet, um die SELinux-Richtlinie und den Zustand zu konfigurieren:

    selinux_config: (optional, Standard: /etc/selinux/config)
    selinux_policy: (optional, Standard: targeted)
    selinux_state:  (optional, nur Werte: enforcing|permissive|disabled, Standard: enforcing)

Die folgenden Variablen werden verwendet, um SELinux-Booleans zu schalten:

    selinux_boolean: 
      name_of_selinux_boolean:
        state: (optional, nur Werte: yes|no, Standard: yes)
        persistent: (optional, nur Werte: yes|no, Standard: yes)

Die folgenden Variablen werden verwendet, um SELinux-Ports zu konfigurieren:

    selinux_ports: 
      name_of_selinux_type:
        ports: (erforderlich, Port oder Portbereich)
        protocol: (optional, nur Werte: tcp|udp, Standard: tcp)
        state: (optional, nur Werte: present|absent, Standard: present)

Die folgenden Variablen werden verwendet, um SELinux-fcontexts zu konfigurieren:

    selinux_fcontext: 
      name_of_selinux_fcontext: (deine eigene Wahl für bessere Dokumentation in deinem Playbook)
        file_spec: (erforderlich, regulärer Ausdruck zur Beschreibung der betroffenen Dateien)
        setype: (erforderlich, vorhandener SELinux-Typ, um die Dateien deines file_spec damit zu kennzeichnen)
        ftype: (optional, nur Werte: a|b|c|d|f|l|p|s - siehe Man-Seite semanage-fcontext für Dateityp, Standard: a - alle Dateien)
        state: (optional, nur Werte: present|absent, Standard: present)

Beispiel-Playbook

    - hosts: server
      become: yes
      become_user: root
      become_method: su
      roles:
        - { role: ansible-selinux-role }
      vars:
        selinux_policy: "targeted"
        selinux_state: "enforcing"
        selinux_boolean:
          antivirus_can_scan_system:
            state: yes
            persistent: yes
          httpd_can_sendmail:
            state: yes
            persistent: yes
        selinux_ports:
          ssh_port_t:
            ports: 2222
            protocol: tcp
            state: present
          http_port_t:
            ports: 9000-9004
            protocol: tcp
            state: present
        selinux_fcontext:
          vcloud_documentroot:
            file_spec: "/srv/www(.*)"
            setype: httpd_sys_rw_content_t
            ftype: a
            state: present

Lizenz

MIT