triplepoint.secure_device

Überblick Versionen Einblicke

Einleitung

Das Ziel dieser Rolle ist es, eine Maschine so allgemein wie möglich bereitzustellen, sicher genug, um dem öffentlichen Internet gegenüberzutreten und nicht sofort zu überhitzen.

Auf hoher Ebene:

  • Installiere Fail2ban, um böswillige Authentifizierungsversuche zu erschweren
  • Deaktiviere SSH für den root-Benutzer
  • Deaktiviere die Passwort-SSH-Authentifizierung für alle (nur Schlüssel)
  • Deaktiviere SSH und sudo-Zugriff für alle und erstelle und konfiguriere eine Liste von autorisierten Benutzern
  • Begrenze den SSH-Zugriff auf einen bestimmten IP-Adressbereich
  • Installiere ufw und deaktiviere allen Verkehr, mit konfigurierbaren Port-Ausnahmen (optional)
  • Installiere unattended-upgrades und konfiguriere es für automatische Sicherheitsupdates der apt-Pakete
  • Installiere einen ntp-Server, um eine zuverlässige Systemzeit sicherzustellen
  • Installiere logwatch und konfiguriere es so, dass täglich Protokollberichte an eine Administrations-E-Mail-Adresse gesendet werden

Offensichtlich sollte diese Rolle vor der Verwendung auf Details geprüft werden, da keine Garantien zu Sicherheitsfragen gegeben werden können.

Anforderungen

Keine.

Rollenvariablen

Siehe den Kommentar in der Standardvariablen-Datei für Informationen zur Konfiguration.

Abhängigkeiten

Keine.

Beispiel-Playbook

- hosts: egal
  roles:
    - triplepoint.secure_device

Rollentest

Diese Rolle wird mit molecule getestet, wobei pipenv zur Verwaltung der Abhängigkeiten und der Python-Testumgebung verwendet wird.

Einrichtung Ihrer Ausführungsumgebung

pip install pipenv

Sobald Sie pipenv installiert haben, können Sie das Ausführungs-Virtualenv mit:

pipenv install --dev

Tests ausführen

Sobald Sie Ihre Umgebung konfiguriert haben, können Sie molecule mit:

pipenv run molecule test

Regenerierung der Lock-Datei

Sie sollten dies nicht sehr oft tun müssen, aber wenn Sie die Anforderungen an die Python-Pakete mit pipenv install {some_package}-Befehlen oder durch direkte Bearbeitung der Pipfile ändern oder wenn Sie feststellen, dass die Build-Abhängigkeiten veraltet sind, müssen Sie möglicherweise die Pipfile.lock neu generieren.

pipenv update --dev

Stellen Sie sicher, dass Sie die neu generierte Pipfile.lock nach Abschluss dieses Vorgangs einchecken.

Lizenz

MIT

Über das Projekt

A role responsible for some basic security tweaks for internet-facing machines

role security usermanagement
Installieren
ansible-galaxy install triplepoint.secure_device
GitHub Repository
0 Sterne
0 Forks
2 Offene Issues
Lizenz
mit
Downloads
212
Besitzer