linux-system-roles.nbde_server

Überblick Versionen Einblicke

nbde_server

ansible-lint.yml ansible-test.yml codeql.yml markdownlint.yml python-unit-test.yml tft.yml tft_citest_bad.yml woke.yml

Ansible-Rolle zur Konfiguration von servergebundenen Festplattenverschlüsselungen (z. B. tang).

Diese Rolle unterstützt zurzeit tang als Anbieter und kann tang-Server einrichten.

Unterstützte Distributionen

  • RHEL-7+, CentOS-7+
  • Fedora

Anforderungen

Siehe unten

Sammlungsvoraussetzungen

Die Rolle benötigt zusätzliche Sammlungen, die in meta/collection-requirements.yml angegeben sind. Diese werden nicht automatisch installiert. Sie müssen sie wie folgt installieren:

ansible-galaxy install -vv -r meta/collection-requirements.yml

Rollenvariablen

Dies sind die Variablen, die an die Rolle übergeben werden können:

Variable Standard Beschreibung
nbde_server_provider tang Identifiziert den Anbieter für die Rolle nbde_server. Derzeit unterstützen wir tang als Anbieter, was bedeutet, dass die Rolle nbde_server in der Lage ist, tang-Server bereitzustellen.
nbde_server_service_state started Gibt an, in welchem Zustand der nbde_server sein soll. Er kann entweder started (Standard) oder stopped sein. started bedeutet, dass der Server Verbindungen akzeptiert, während stopped bedeutet, dass er keine Verbindungen akzeptiert.
nbde_server_rotate_keys false Gibt an, ob bestehende Schlüssel rotiert werden sollen - falls vorhanden - und dann neue Schlüssel erstellt werden sollen. Standardverhalten (false) ist, neue Schlüssel zu erstellen, wenn keine vorhanden sind, und die vorhandenen Schlüssel nicht zu berühren. Wenn auf true gesetzt, werden vorhandene Schlüssel rotiert und neue Schlüssel erstellt.
nbde_server_fetch_keys false Gibt an, ob wir Schlüssel auf den Kontrollknoten abrufen sollen, in diesem Fall werden sie im Verzeichnis nbde_server_keys_dir abgelegt. Sie müssen nbde_server_keys_dir festlegen, um nbde_server_fetch_keys zu verwenden.
nbde_server_deploy_keys false Gibt an, ob wir die in nbde_server_keys_dir befindlichen Schlüssel auf die Remote-Hosts bereitstellen sollen. Sie müssen nbde_server_keys_dir festlegen, um nbde_server_deploy_keys zu verwenden.
nbde_server_keys_dir Gibt ein Verzeichnis auf dem Kontrollknoten an, das Schlüssel enthält, die auf die Remote-Hosts bereitgestellt werden sollen. Schlüssel im obersten Verzeichnis werden auf jeden Remote-Host bereitgestellt, während Schlüssel in Unterverzeichnissen mit den Namen der Remote-Hosts - gemäß dem Inventory - nur an diese spezifischen Hosts verteilt werden. nbde_server_keys_dir muss ein absoluter Pfad sein. Sie müssen dies festlegen, um entweder nbde_server_fetch_keys und/oder nbde_server_deploy_keys zu verwenden.
nbde_server_manage_firewall false Verwaltet den nbde-Serverport und die Zone mit der Rolle firewall, wenn auf true gesetzt.
nbde_server_manage_selinux false Verwaltet den nbde-Serverport mit der Rolle selinux, wenn auf true gesetzt.
nbde_server_port 80 Portnummer, auf der tangd abhört. Sie müssen nbde_server_manage_selinux: true setzen, wenn Sie möchten, dass die Rolle die SELinux-Beschriftung für den Port verwaltet. Sie müssen nbde_server_manage_firewall: true setzen, wenn Sie möchten, dass die Rolle die Firewall für den Port verwaltet.
nbde_server_firewall_zone public Ändert die Standardzone, in der der Port geöffnet werden soll. Sie müssen nbde_server_manage_firewall: true setzen, um die Standardzone zu ändern.

nbde_server_fetch_keys und nbde_server_deploy_keys

Um eine dieser Optionen zu verwenden, müssen Sie nbde_server_keys_dir, ein Verzeichnis mit einem absoluten Pfad, angeben.

Das Verhalten beim Verwenden dieser Variablen wird als Nächstes beschrieben:

Wenn nbde_server_fetch_keys auf true gesetzt ist

Die Rolle wird Schlüssel von den Hosts folgendermaßen abrufen:

  • Wenn nbde_server_deploy_keys nicht gesetzt ist, werden die Schlüssel von jedem Host abgerufen und in Verzeichnissen abgelegt, die nach dem Host benannt sind, innerhalb von nbde_server_keys_dir.
  • Wenn nbde_server_deploy_keys gesetzt ist, werden nur die Schlüssel vom ersten Host im Inventory abgerufen, und sie werden im obersten Verzeichnis von nbde_server_keys_dir abgelegt.

Wenn nbde_server_deploy_keys auf true gesetzt ist

Die Rolle wird die in nbde_server_keys_dir verfügbaren Schlüssel folgendermaßen bereitstellen:

  • Die im obersten Verzeichnis von nbde_server_keys_dir befindlichen Schlüssel werden auf jeden Host bereitgestellt.
  • Die Schlüssel, die in Unterverzeichnissen mit den Namen der Hosts im Inventory sich befinden, innerhalb von nbde_server_keys_dir, werden nur an diesen speziellen Host bereitgestellt.

Beispiel-Playbooks

Beispiel 1: NBDE-Server auf jedem Host im Inventory bereitstellen

---
- name: Manage nbde servers
  hosts: all
  roles:
    - linux-system-roles.nbde_server

Beispiel 2: Schlüssel von NBDE-Server-Installationen abrufen

Rufen Sie die Schlüssel von jeder NBDE-Server-Installation aus /root/nbde_server/keys ab.

---
- name: Manage nbde keys from /root/nbde_server/keys
  hosts: all
  vars:
    nbde_server_fetch_keys: true
    nbde_server_keys_dir: /root/nbde_server/keys
  roles:
    - linux-system-roles.nbde_server

Danach können Sie Ihre Schlüssel sichern, die in /root/nbde_server/keys in Unterverzeichnissen abgelegt werden, die nach dem Host benannt sind, zu dem sie gehören.

Beispiel 3: Schlüssel aus einem Backup, das mit Beispiel 2 erstellt wurde, erneut bereitstellen

Um Schlüssel erneut bereitzustellen, müssen sie in Unterverzeichnissen abgelegt werden, die nach dem Host benannt sind, an den sie bereitgestellt werden sollen. Verwenden Sie nach Beispiel 2 mit /root/nbde_server/keys das folgende Playbook, um dieselben Schlüssel an dieselben Hosts erneut bereitzustellen:

---
- name: Manage nbde and redeploy backed up keys
  hosts: all
  vars:
    nbde_server_deploy_keys: true
    nbde_server_keys_dir: /root/nbde_server/keys
  roles:
    - linux-system-roles.nbde_server

Beispiel 4: NBDE-Server bereitstellen und dieselben Schlüssel auf jedem Host verwenden

HINWEIS Dies wird nicht empfohlen, ist aber unterstützt.

---
- name: Manage nbde with same keys on every host
  hosts: all
  vars:
    nbde_server_fetch_keys: true
    nbde_server_deploy_keys: true
    nbde_server_keys_dir: /root/nbde_server/keys
  roles:
    - linux-system-roles.nbde_server

Beispiel 5: NBDE-Server mit benutzerdefiniertem Port und Zone bereitstellen

---
- name: Manage nbde with custom port and zone
  hosts: all
  vars:
    nbde_server_manage_firewall: true
    nbde_server_manage_selinux: true
    nbde_server_port: 7500
    nbde_server_firewall_zone: dmz
  roles:
    - linux-system-roles.nbde_server

rpm-ostree

Siehe README-ostree.md

Lizenz

MIT

Über das Projekt

Ansible role for configuring Network-Bound Disk Encryption servers (e.g. tang)

role centos clevis el7 el8 el9 el10 fedora nbde redhat tang
Installieren
ansible-galaxy install linux-system-roles.nbde_server
GitHub Repository
11 Sterne
18 Forks
1 Offene Issues
Lizenz
mit
Downloads
12.1k
Besitzer