chzerv.security

Überblick Versionen Einblicke

Ansible Rolle: Sicherheit

Wichtige Änderungen: Ab Version 0.7 unterstützt die Rolle nicht mehr die Optionen security_enforce_strong_passwords, security_log_after_failed_logins und security_nproc_limit. Eine falsche PAM-Konfiguration kann dich vom System aussperren, weshalb ich einen besseren Weg finden muss, um diese umzusetzen.

Denke daran, die Sicherheit deines PCs/Servers ist DEINE eigene Verantwortung. Dies ist eine sehr einfache Vorlage und sollte als Vorlage und nicht als vollständige Lösung verwendet werden.

Diese Rolle führt einige grundlegende Sicherheitskonfigurationen auf RedHat/Debian/Archlinux-basierten Linux-Systemen aus, wie zum Beispiel:

  • Installation und Konfiguration von fail2ban zur Überwachung von schlechten SSH-Anmeldeversuchen.
  • Grundlegende SSH-Härtung wie:
    • Deaktivierung des Root-Logins.
    • Deaktivierung der Passwort-Authentifizierung.
    • Aktivierung der Schlüssel-gestützten Authentifizierung.
    • Ändern des Standardports.
    • Deaktivierung bekannter schwacher Algorithmen.
  • Einrichtung automatischer Updates.
  • Grundlegende Härtung des Kernels.
  • Grundlegende Härtung des TCP/IP-Stacks.
  • Entfernung von Paketen deiner Wahl.
  • Deaktivierung von Kerneldumps mithilfe von limits.

Anforderungen

  • Nach Ausführung dieser Rolle ist SSH-Zugriff nur noch mit öffentlichen Schlüsseln möglich. Daher müssen deine SSH-Schlüssel bereits auf den Remote-Host kopiert sein. Siehe diesen ArchWiki-Beitrag zur einfachen Anleitung, wie du deine SSH-Schlüssel auf den Remote-Host kopieren kannst.
  • Grundlegendes Verständnis dafür, was jede Einstellung bewirkt.

Rollenvariablen

Abhängigkeiten

Keine.

Beispiel Playbook

Ein Beispiel, wie du deine Rolle verwenden kannst (zum Beispiel mit übergebenen Variablen) ist für die Benutzer ebenfalls hilfreich:

- hosts: server
  vars_files:
    - vars/main.yml

  roles:
    - { role: chzerv.security }

Die Datei vars/main.yml:

security_kern_go_hardcore: true
security_net_go_hardcore: true
security_autoupdates_enabled: true
security_autoupdates_type: "security"
security_fail2ban_enabled: true
security_fail2ban_harden_service: true

Lizenz

MIT / BSD

Über das Projekt

Configure a Linux box to be more secure.

role fail2ban hardening kernel security ssh system
Installieren
ansible-galaxy install chzerv.security
GitHub Repository
4 Sterne
0 Forks
0 Offene Issues
Lizenz
mit
Downloads
173
Besitzer
Chr Z
Open Source and Linux enthusiast, with a passion for automation and infrastructure.