Shadow Utils

Verwalten Sie die Konfiguration des Shadow Utils-Pakets, das zur Verwaltung von Benutzer- und Gruppenkonten auf Systemen verwendet wird.

Die besten Sicherheitspraktiken wurden auf die Standardkonfigurationen angewendet; dennoch sollten Sie immer eine gründliche Überprüfung durchführen, da dies keine Garantie bietet.

Anforderungen

Ansible 2.8+

Unterstützte Betriebssysteme

• Debian 10
• CentOS 8

Rollenvariablen

# Konfigurationsoptionen für useradd
# #######################

# Standard-Shell für neu erstellte Benutzer
shadow_utils_shell: "{{ shadow_utils__shell }}"

# Die GID des Benutzers (100=users), verwendet, wenn keine anderen Gruppen angegeben sind.
shadow_utils_group: 100

# Anzahl der Tage nach Ablauf des Passworts, bis das Konto dauerhaft deaktiviert wird. -1 deaktiviert.
shadow_utils_inactive: 60

# Standard-Ablaufdatum
shadow_utils_expire: null

# Standard-Heimatverzeichnis
shadow_utils_home: "/home"

# Die Skelettstruktur, die in das neue Benutzer-Heimatverzeichnis kopiert wird.
shadow_utils_skel: "/etc/skel"

# Standardmäßig einen Mail-Spool für neue Benutzer erstellen
shadow_utils_create_mail_spool: false

# Konfigurationsoptionen für login.defs
# #########################

# Das Verzeichnis für die Mail-Spool-Dateien. Dies wird benötigt, um das Postfach zu bearbeiten, wenn das entsprechende Benutzerkonto geändert oder gelöscht wird.
shadow_utils_mail_dir: "{{ shadow_utils__mail_dir }}"

# Definiert die Lage der Mail-Spool-Dateien des Benutzers relativ zu seinem Heimatverzeichnis
shadow_utils_mail_file: null

# Aktiviert das Protokollieren und Anzeigen von /var/log/faillog-Anmeldefehlern.
# Diese Option ist inkompatibel mit dem pam_tally PAM-Modul.
shadow_utils_faillog_enab: true

# Aktiviert die Anzeige unbekannter Benutzernamen, wenn Anmeldefehler aufgezeichnet werden.
shadow_utils_log_unkfail_enab: true
 
# Aktiviert das Protokollieren erfolgreicher Anmeldungen.
shadow_utils_log_ok_logins: false

# Aktiviert das „syslog“-Protokollieren von su-Aktivitäten – zusätzlich zum Protokollieren der sulog-Datei.
shadow_utils_syslog_su_enab: true

# Aktiviert das „syslog“-Protokollieren von sg-Aktivitäten.
shadow_utils_syslog_sg_enab: true
 
# Wenn definiert, wird alle su-Aktivität in diese Datei protokolliert.
shadow_utils_sulog_file: '/var/log/su.log'

shadow_utils_ftmp_file: '/var/log/btmp'

# Wenn definiert, Datei, die tty-Zeile in den TERM-Umgebungsparameter abbildet
shadow_utils_ttytype_file: null

# Wenn definiert, der Anzeigename für den Befehl beim Ausführen von "su -".
shadow_utils_su_name: 'su'

# Wenn definiert, unterdrückt Anmeldemeldungen. Wenn ein vollständiger Pfad angegeben ist, wird hushed für Benutzernamen in der angegebenen Datei aktiviert; andernfalls,
# wird hushed aktiviert, wenn die Datei im Benutzerverzeichnis existiert.
shadow_utils_hushlogin_file: '.hushlogin'

# Legt die PATH-Variable eines Superbenutzers bei der Anmeldung fest
shadow_utils_env_supath: 
    - '/usr/local/sbin'
    - '/usr/local/bin'
    - '/usr/sbin'
    - '/usr/bin'
    - '/sbin'
    - '/bin'

# Legt die PATH-Variable eines normalen Benutzers bei der Anmeldung fest
shadow_utils_env_path: 
    - '/usr/local/bin'
    - '/usr/bin'
    - '/bin'
    - '/usr/local/games'
    - '/usr/games'

# Die Terminalberechtigungen.
shadow_utils_ttygroup: 'tty'
shadow_utils_ttyperm: '0600'

# Terminal-REASE-Zeichen (010 = Rücktaste, 0177 = DEL)
shadow_utils_erasechar: '0177'

# Terminal-KILL-Zeichen (025 = CTRL/U)
shadow_utils_killchar: '025'

# Der Datei-Modus-Erstellungs-Maske wird auf diesen Wert initialisiert.
shadow_utils_umask: '077'
# - 022: Dateien - 640 (rw-rw----), Verzeichnisse - 750 (rwxrwx---)
# - 027: Dateien - 640 (rw-r-----), Verzeichnisse - 750 (rwxr-x---)
# - 077: Dateien - 640 (rw-------), Verzeichnisse - 750 (rwx------)

# Die maximale Anzahl der Tage, an denen ein Passwort verwendet werden kann. Wenn das Passwort älter ist als dies, wird ein Passwortwechsel erzwungen.
shadow_utils_pass_max_days: 366

# Die minimale Anzahl von Tagen, die zwischen Passwortwechseln erlaubt sind. Jeder versuchte Passwortwechsel, der früher als dies kommt, wird abgelehnt.
shadow_utils_pass_min_days: 1

# Die Anzahl der Tage, die vor dem Ablauf eines Passworts gewarnt wird.
shadow_utils_pass_warn_age: 31

# Bereich der Benutzer-IDs, die für die Erstellung von normalen Benutzern verwendet werden
shadow_utils_uid_min: 1000
shadow_utils_uid_max: 60000

# Bereich der Benutzer-IDs, die für die Erstellung von Systembenutzern verwendet werden
shadow_utils_sys_uid_min: 201
shadow_utils_sys_uid_max: 999

# Bereich der Gruppen-IDs, die für die Erstellung von normalen Gruppen verwendet werden
shadow_utils_gid_min: 1000
shadow_utils_gid_max: 60000

# Bereich der Gruppen-IDs, die für die Erstellung von Systemgruppen verwendet werden
shadow_utils_sys_gid_min: 201
shadow_utils_sys_gid_max: 999

# Maximale Anzahl der Anmeldeversuche im Falle eines falschen Passworts.
# Dies wird höchstwahrscheinlich von PAM überschrieben, kann aber eine sichere Rückfalloption sein.
shadow_utils_login_retries: 5

# Maximale Zeit in Sekunden für die Anmeldung.
shadow_utils_login_timeout: 60

# Gibt die gecos-Felder an, die ein Benutzer mit chfn ändern kann. 
# f - Voller Name, r - Raumnummer, w - Arbeitstelefon, h - Privattelefon
shadow_utils_chfn_restrict: 'rwh'

# Ermöglicht Benutzern die Anmeldung, wenn wir nicht in das Heimatverzeichnis wechseln können
shadow_utils_default_home: false

# Erstellt standardmäßig das Heimatverzeichnis neuer Benutzer
shadow_utils_create_home: true

# Wenn definiert, wird dieser Befehl beim Entfernen eines Benutzers ausgeführt
shadow_utils_userdel_cmd: null

# Erstellt standardmäßig eine Gruppe für neue Benutzer mit demselben Namen und entfernt die Gruppe des Benutzers, wenn sie leer ist, wenn der Benutzer gelöscht wird. 
shadow_utils_usergroups_enab: true

# Standardverschlüsselungsmethode zum Verschlüsseln von Passwörtern
shadow_utils_encrypt_method: 'SHA512'

Abhängigkeiten

Keine

Beispielfaltbuch

- hosts: server
  tasks:
    - name: "Shadow Utils einfügen"
      include_role:
        name: "shadow_utils"

Lizenz

LGPLv3

Autor Informationen

• Robert Brightling | GitLab | GitHub