linux-system-roles.crypto_policies

Überblick Versionen Einblicke

crypto_policies

ansible-lint.yml ansible-test.yml markdownlint.yml tft.yml tft_citest_bad.yml woke.yml

Diese Ansible-Rolle verwaltet systemweite Kryptopolitiken.

Dieses Konzept ist seit Red Hat Enterprise Linux 8 und in Fedora gut etabliert.

Anforderungen

Siehe unten

Sammlung Anforderungen

Wenn Sie rpm-ostree-Systeme mit dieser Rolle verwalten möchten, müssen Sie zusätzliche Sammlungen installieren. Führen Sie bitte die folgende Befehlszeile aus, um die Sammlung zu installieren.

ansible-galaxy collection install -vv -r meta/collection-requirements.yml

Rollenvariablen

Standardmäßig wird diese Rolle nur den Systemstatus melden, wie im folgenden Abschnitt beschrieben.

  • crypto_policies_policy

Verwenden Sie diese Variable, um die gewünschte Kryptopolitik auf dem Zielsystem anzugeben, die entweder die Basisrichtlinie oder eine Basisrichtlinie mit Unterrichtlinien sein kann, wie sie vom Tool update-crypto-policies akzeptiert wird. Zum Beispiel FUTURE oder DEFAULT:NO-SHA1:GOST. Die angegebene Basisrichtlinie und Unterrichtlinien müssen auf dem Zielsystem verfügbar sein.

Der Standardwert ist null, was bedeutet, dass die Konfiguration nicht geändert wird und die Rolle nur die unten genannten Fakten sammelt.

Die Liste der verfügbaren Basisrichtlinien auf dem Zielsystem finden Sie in der Variable crypto_policies_available_policies, und die Liste der verfügbaren Unterrichtlinien finden Sie in der Variable crypto_policies_available_subpolicies.

  • crypto_policies_reload

Standardmäßig (true) zwingt die Aktualisierung der Kryptopolitiken zum Neuladen einiger der von den Kryptopolitiken betroffenen Daemons im System. Das Setzen auf false verhindert dieses Verhalten und ist hilfreich, wenn die Rolle während der Systemregistrierung oder bei anderen nachfolgenden Aufgaben ausgeführt wird.

  • crypto_policies_reboot_ok

Kryptopolitiken können nicht alle benutzerdefinierten Anwendungen kennen, die von Änderungen der Kryptopolitiken betroffen sind, daher wird empfohlen, nach Änderung der Kryptopolitiken einen Neustart durchzuführen, um sicherzustellen, dass alle Dienste und Anwendungen die neuen Konfigurationsdateien verwenden. Standardmäßig (false), wenn ein Neustart erforderlich ist, wird diese Rolle die Variable crypto_policies_reboot_required wie unten beschrieben setzen, und es liegt am Benutzer der Rolle, das System danach neu zu starten, beispielsweise nachdem andere Änderungen angewendet wurden, die eventuell einen Neustart benötigen. Wenn es keine anderen Aufgaben im Playbook gibt, die einen Neustart erfordern, können Sie diesen Wert auf true setzen, und diese Rolle wird den Neustart für Sie übernehmen, wenn nötig.

  • crypto_policies_transactional_update_reboot_ok

Diese Variable wird verwendet, um Neustarts zu verwalten, die durch transaktionale Updates erforderlich sind. Wenn ein transaktionales Update einen Neustart erfordert, führt die Rolle den Neustart durch, wenn crypto_policies_transactional_update_reboot_ok auf true gesetzt ist. Wenn auf false gesetzt, wird die Rolle den Benutzer darüber informieren, dass ein Neustart erforderlich ist, wodurch eine benutzerdefinierte Handhabung der Neustartanforderung möglich wird. Wenn diese Variable nicht gesetzt ist, wird die Rolle fehlschlagen, um sicherzustellen, dass die Neustartanforderung nicht übersehen wird.

Von der Rolle exportierte Variablen

  • crypto_policies_active

Dieses Faktum enthält den derzeit aktiven Politiknamen im Format, das von der oben genannten Variable crypto_policies_policy akzeptiert wird.

  • crypto_policies_available_policies

Dies ist eine Liste aller Basisrichtlinien, die auf dem Zielsystem verfügbar sind. Benutzerdefinierte Politikdateien können installiert werden, indem die .pol-Dateien in das Verzeichnis /etc/crypto-policies/policies kopiert werden (noch nicht in dieser Rolle implementiert).

  • crypto_policies_available_subpolicies

Dies ist eine Liste aller Unterrichtlinien, die auf dem Zielsystem verfügbar sind. Benutzerdefinierte Unterrichtlinien können installiert werden, indem die .pmod-Dateien in das Verzeichnis /etc/crypto-policies/policies/modules kopiert werden (noch nicht in dieser Rolle implementiert).

  • crypto_policies_available_modules

Veralteter Alias für crypto_policies_available_subpolicies.

  • crypto_policies_reboot_required

Standardwert false - wenn true, bedeutet dies, dass ein Neustart erforderlich ist, um die durch die Rolle vorgenommenen Änderungen anzuwenden.

Beispiel-Playbook

Das folgende Playbook konfiguriert das System auf das Standardkryptopolitikniveau ohne SHA1. Das Update erfolgt ohne Neustart (was empfohlen wird, dass der Benutzer danach tut).

- name: Kryptopolitiken verwalten
  hosts: alle
  roles:
    - role: linux-system-roles.crypto_policies
      vars:
        crypto_policies_policy: "DEFAULT:NO-SHA1"
        crypto_policies_reload: false

rpm-ostree

Siehe README-ostree.md

Lizenz

MIT, siehe die Datei LICENSE für weitere Informationen.

Autoreninformation

Jakub Jelen, 2020

Über das Projekt

This Ansible role manages system-wide crypto policies.

role bind crypto el8 el9 el10 fedora gnutls java kerberos krb5 libssh networking nss openssh openssl redhat security ssh system tls
Installieren
ansible-galaxy install linux-system-roles.crypto_policies
GitHub Repository
11 Sterne
21 Forks
1 Offene Issues
Lizenz
mit
Downloads
82.5k
Besitzer