siw36.ansible_ssh_hardening
ansible-ssh-härterung
Diese Rolle führt grundlegende Aufgaben zur SSH-Härtung durch, einschließlich:
- Ändern des SSH-Ports
- Deaktivieren der SSH-Passwortauthentifizierung
- Festlegen der SELinux-Einstellungen
- Zulassen des neuen SSH-Ports in firewalld
- Installieren und Konfigurieren von fail2ban für SSH
So erhalten Sie diese Rolle
ansible-galaxy install --roles-path ./roles/ siw36.ansible_ssh_hardening
Anforderungen
- RHEL-basierte Betriebssysteme (RHEL/CentOS/Fedora)
- Python 3 als standardmäßiger Python-Interpreter
- Der Benutzer, der auf dem Remote-Host verwendet wird, muss die Berechtigung haben,
sudo-Befehle ohne Passwortabfrage auszuführen.
Rollenvariablen
| Name | Beschreibung | Standardwert |
|---|---|---|
| sshPort | Neuer SSH-Port | 1337 |
| f2bEnabled | Fail2ban für SSH aktivieren | true |
| f2bRetries | Anzahl der erlaubten fehlgeschlagenen Anmeldungen vor dem Sperren | 5 |
| f2bBanTime | Sperrzeit in Sekunden | 3600 |
| f2bIgnoreIP | Liste der ignorierten IPs/Subnetze | 127.0.0.1/32 |
| vmAdmins | Liste der Benutzerkonten und öffentlichen SSH-Schlüssel, die Zugang zur Maschine haben sollen | <keine - optional> |
| allowedInterfaces | Liste der Netzwerk-Interfaces, auf denen der SSHD-Dienst verfügbar sein soll | <keine - optional> |
Beispiel-Playbook
playbook.yml
- hosts: servers
become: true
roles:
- siw36.ansible_ssh_hardening
vars/main.yml
vmAdmins:
- user: siw36
sshKey: ssh-rsa xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx siw36
allowedInterfaces:
- eth0
Lizenz
GNU Allgemeine Öffentlichkeitslizenz v3.0
Autoreninformation
Erstellt von Robin 'siw36' Klussmann (07/2019)
Installieren
ansible-galaxy install siw36.ansible_ssh_hardeningLizenz
Unknown
Downloads
158
Besitzer
Platform & DevOps Engineer