chzerv.security

Descripción general Versiones Perspectivas

Rol de Ansible: Seguridad

Cambios Importantes: A partir de la versión v0.7, el rol ya no soporta las opciones security_enforce_strong_passwords, security_log_after_failed_logins y security_nproc_limit. Una mala configuración de PAM puede dejarte fuera del sistema, así que necesitaré encontrar una mejor manera de implementar estas funciones.

Recuerda, asegurar TU PC/servidor es TU PROPIA responsabilidad. Este es un template muy básico y debe ser utilizado como un template, no como una solución completa.

Este rol realiza algunas configuraciones básicas de seguridad en sistemas Linux basados en RedHat/Debian/Archlinux, tales como:

  • Instalar y configurar fail2ban para monitorear intentos de inicio de sesión SSH fallidos.
  • Dureza básica de SSH como
    • Desactivar el inicio de sesión como root.
    • Desactivar la autenticación por contraseña.
    • Habilitar la autenticación basada en claves.
    • Cambiar el puerto predeterminado.
    • Desactivar algoritmos débiles conocidos.
  • Configurar actualizaciones automáticas.
  • Dureza básica del kernel.
  • Dureza básica del stack TCP/IP.
  • Eliminar paquetes según tu elección.
  • Desactivar volcados de núcleo, usando limits.

Requisitos

  • Después de ejecutar este rol, el acceso SSH solo será posible utilizando claves públicas, por lo tanto, tus claves SSH deben estar ya copiadas al host remoto. Consulta esta entrada de ArchWiki sobre cómo copiar fácilmente tus claves SSH al host remoto.
  • Entendimiento básico de lo que hace cada configuración.

Variables del Rol

Dependencias

Ninguna.

Ejemplo de Playbook

Incluir un ejemplo de cómo usar tu rol (por ejemplo, con variables pasadas como parámetros) es siempre útil para los usuarios también:

- hosts: servidor
  vars_files:
    - vars/main.yml

  roles:
    - { role: chzerv.security }

El archivo vars/main.yml:

security_kern_go_hardcore: true
security_net_go_hardcore: true
security_autoupdates_enabled: true
security_autoupdates_type: "secuidad"
security_fail2ban_enabled: true
security_fail2ban_harden_service: true

Licencia

MIT / BSD

Acerca del proyecto

Configure a Linux box to be more secure.

role fail2ban hardening kernel security ssh system
Instalar
ansible-galaxy install chzerv.security
GitHub repositorio
4 estrellas
0 bifurcaciones
0 problemas abiertos
Licencia
mit
Descargas
173
Propietario
Chr Z
Open Source and Linux enthusiast, with a passion for automation and infrastructure.