criecm.common

Überblick Versionen Einblicke

Gemeinsam - Basis-Systemrolle

  • CA x509
  • OpenLDAP-Client + Konfiguration
  • Mailrelay konfigurieren (nur wenn is_mailrelay == False und mailrelay != '')
    • Debian: postfix
    • FreeBSD: sendmail
    • OpenBSD: smtpd
  • sshd-Konfigurationszeilen (in Variablen, siehe defaults/main.yml)
  • zentrale Syslog:
    • außer wenn is_syslogd=True
    • nur wenn syslog_server existiert
  • Bereitstellung der SSH-Schlüssel files/cles_ssh/*.pub
  • /usr/local/admin/sysutils/common aus GIT (und mehr je nach Variablen)
  • tägliche/wöchentliche Cronjobs (und Löschung der alten von CVS)
  • snmpd (TODO: Debian und OpenBSD)
  • bevorzugte Shell für root + deren Konfiguration + Aliase
  • zusätzliche Pakete (Variable pkgs)

Vorlagen und Dateien

sshd-Konfiguration und autorisierte Schlüssel

  • Dateien, die cles_ssh/*.pub entsprechen, werden für das root-Konto autorisiert
  • Dateien, die cles_ssh/*.del entsprechen, werden entfernt
  • vimrc-Datei in files/ wird als /root/.vimrc installiert

SSH-Schlüssel

  • Dateien, die {{ playbook_dir }}/files/ssh/{{ inventory_hostname }}/ssh_host.*_key(.pub)? entsprechen, werden auf dem SSH-Daemon des Hosts installiert.

Variablen

  • host_timezone (Europa/Paris)
  • is_resolver (False) wenn True, wird 127.0.0.1 zuerst in resolv.conf verwendet
  • resolvers ( [{ network='0.0.0.0/0', ip='8.8.8.8' }] ) Liste von Dictionnaires, die IP wird verwendet, wenn der Host zum Netzwerk passt (in aufgeführter Reihenfolge)
  • dns64_resolvers ([]) für IP6-only Hosts, ersetzt das resolvers-Mechanismus mit DNS64-fähigen Resolvern
  • rootmailto () E-Mail, um die Post von root weiterzuleiten
  • gits_root ('/root') Pfad für den relativen Pfad in gits
  • gits_group ('') Gruppe, die gits_root besitzt
  • gits_mode ('0750') Verzeichnisberechtigung für gits_root
  • gits, host_gits, group_gits und role_gits ([]) Listen von Dictionnaires: jede MUSS mindestens haben
    • repo: Git-URL zum Klonen
    • dest: Zielpfad (absolut oder relativ zu gits_root) und KANN haben:
    • umask ('0022')
    • update (False)
    • version (master)
  • crons, host_crons, role_crons: Liste von Dictionnaires für das Cron-Modul
  • ocsinventory_server ('') Wenn vorhanden, installiert und konfiguriert den openinventory-agent
  • root_shell (zsh) Setze hier deine bevorzugte Shell :) (oder lasse sie leer, um das Ganze zu überspringen) Lege deine rc-Datei in {{ playbook_dir }}/files/{{ root_shell }}rc ab
  • do_smart (True wenn nicht jail/vm) konfiguriert smartd für Festplattenwarnungen
  • smart_mailto ('') Hier kommt deine E-Mail-Adresse, wenn du Warnungen per E-Mail erhalten möchtest
  • backup_dir (files/backups/{{ inventory_hostname }}) Kopiere SSH-Host-Schlüssel und stelle Dateien von /root/ hierher wieder her, falls vorhanden
  • monitoring_from ([]) Liste der Netzwerke, die für SNMP erlaubt sind
  • http_proxy ('') Um http_proxy und https_proxy globale Werte zu setzen (nur für FreeBSD)

FreeBSD-spezifisch

  • pkg_repo_conf (pkgecm.conf) Name einer zu installierenden pkg-Repo-Konfigurationsdatei
  • is_jail (False) Wenn True, werden Hardwareüberwachungstools (smart, ipmi, snmp, dmidecode) übersprungen
  • freebsd_base_pkgs ([git,rsync,vim-console,root_shell]) Liste der zu installierenden Pakete

OpenBSD-spezifisch

  • openbsd_base_pkgs ([git,rsync,vim--no_x11,root_shell]) Liste der zu installierenden Pakete
  • openbsd_pkg_mirror ("http://ftp.openbsd.org") Zu verwendender Spiegel

Debian-spezifisch

  • debian_base_pkgs (git,rsync,vim,root_shell]) Liste der zu installierenden Pakete

Pakete

  • pkgs ([]) zusätzliche Pakete, die mit dem Paketverwaltungssystem der Distribution installiert werden
  • host_pkgs role_pkgs ([]) andere Pakete, die in der Inventarliste oder in Rollen definiert sind (oder ähnliches)

Syslog

  • syslog_server () Wenn definiert, werden alle Protokolle dorthin gesendet
  • syslog_auth_server (syslog_server) Authentifizierungsprotokolle werden dorthin gesendet

x509

  • x509_ca_file ('') Quelldatei für x509 AC-Zertifikate
  • x509_ca_path (/etc/ssl/ca.crt) Zielpfad für die oben genannte Zertifikatsdatei

Mailrelay

  • is_mailrelay (False) Konfiguriert kein Mailrelay, wenn True
  • mailrelay () Wenn definiert, Name/IP des Mailrelays

SSH

  • sshd_allow_groups ('') definiert AllowGroups in /etc/ssh/sshd_config

LDAP-Grundkonfiguration

  • ldap_base ('') Basis-DN für LDAP (für ldap.conf)
  • ldap_uri ('ldaps://ldapr.univ.fr/ ldaps://ldap.univ.fr/') URI für ldap.conf
  • ldap_tls_reqcert (never) Wert für denselben Namen in ldap.conf

Network Time Protocol (NTP)

Wenn einer von ntp_servers oder ntp_pools nicht leer ist, wird die Rolle sich um ntp(d).conf und den NTP-Dienst kümmern.

  • ntp_servers ([]) Liste der NTP-Server
  • ntp_pools ([]) Liste der NTP-Pools
  • ntp_listen_addrs ([]) IPs, auf die gehört werden soll (OpenBSD hört ohne dies nirgends, kann '* sein')
Über das Projekt

base role for working system here

role authorizedkeys mailviarelay ntp packages sshd syslog
Installieren
ansible-galaxy install criecm.common
GitHub Repository
1 Sterne
0 Forks
0 Offene Issues
Lizenz
Unknown
Downloads
62.2k
Besitzer
DSI Centrale Méditerranée
Direction des Systèmes d'Information