criecm.common

Descripción general Versiones Perspectivas

común - rol de sistema base

  • CA x509
  • cliente OpenLDAP + configuración
  • configuración de relé de correo (solo is_mailrelay == False y mailrelay != '')
    • Debian: postfix
    • FreeBSD: sendmail
    • OpenBSD: smtpd
  • líneas de configuración sshd (en variables, ver defaults/main.yml)
  • syslog centralizado:
    • excepto si is_syslogd=True
    • solo si existe syslog_server
  • despliegue de claves ssh files/cles_ssh/*.pub
  • /usr/local/admin/sysutils/common desde GIT (y más según variables)
  • cron diario/semanal de ecm (y eliminación de antiguos de CVS)
  • snmpd (TODO: Debian y OpenBSD)
  • shell preferido para root + su configuración + alias
  • paquetes adicionales (variable pkgs)

plantillas y archivos

configuración de sshd y claves autorizadas

  • Los archivos que coincidan con cles_ssh/*.pub serán autorizados en la cuenta root
  • Los archivos que coincidan con cles_ssh/*.del serán eliminados
  • El archivo vimrc en files/ se instalará como /root/.vimrc

claves ssh

  • Los archivos que coincidan con {{ playbook_dir }}/files/ssh/{{ inventory_hostname }}/ssh_host.*_key(.pub)? se instalarán en el daemon ssh del host.

Variables

  • host_timezone (Europa/París)
  • is_resolver (False) si es verdadero, usará 127.0.0.1 en resolv.conf primero
  • resolvers ( [{ network='0.0.0.0/0', ip='8.8.8.8' }] ) lista de diccionarios, la ip se usará si el host coincide con la red (en orden listado)
  • dns64_resolvers ([]) para hosts solo IP6, reemplaza el mecanismo resolvers con resolvers habilitados para DNS64
  • rootmailto () correo para reenviar el correo de root
  • gits_root ('/root') ruta para la ruta relativa en gits
  • gits_group ('') grupo propietario de gits_root
  • gits_mode ('0750') modo de directorio para gits_root
  • gits, host_gits, group_gits y role_gits ([]) listas de diccionarios: cada uno DEBE tener al menos
    • repo: url de git para clonar allí
    • dest: ruta de destino (absoluta o relativa a gits_root) y PUEDE tener:
    • umask ('0022')
    • update (False)
    • version (master)
  • crons,host_crons,role_crons: lista de diccionarios para el módulo cron
  • ocsinventory_server ('') Si está presente, instalar y configurar openinventory-agent
  • root_shell (zsh) Establece tu preferido aquí :) (o déjalo vacío para omitir todo esto) coloca tu archivo rc en {{ playbook_dir }}/files/{{ root_shell }}rc
  • do_smart (True si no es jail/vm) configurar smartd para alertas de discos
  • smart_mailto ('') Aquí va tu dirección de correo si deseas recibir alertas por correo
  • backup_dir (files/backups/{{ inventory_hostname }}) copiar las claves de host ssh y restaurar archivos /root/ desde aquí si hay
  • monitoring_from ([]) lista de redes permitidas para snmp
  • http_proxy ('') Para establecer los valores globales de http_proxy y https_proxy (solo FreeBSD)

Específico de FreeBSD

  • pkg_repo_conf (pkgecm.conf) nombre de un archivo de configuración de repositorio pkg que se instalará primero
  • is_jail (False) si es verdadero, omitirá herramientas de monitoreo de hardware (smart, ipmi, snmp, dmidecode)
  • freebsd_base_pkgs ([git,rsync,vim-console,root_shell]) lista de paquetes para instalar

Específico de OpenBSD

  • openbsd_base_pkgs ([git,rsync,vim--no_x11,root_shell]) lista de paquetes para instalar
  • openbsd_pkg_mirror ("http://ftp.openbsd.org") espejo a utilizar

Específico de Debian

  • debian_base_pkgs (git,rsync,vim,root_shell]) lista de paquetes para instalar

Paquetes

  • pkgs ([]) paquetes adicionales para instalar usando el sistema de paquetes de la distribución
  • host_pkgs role_pkgs ([]) otros paquetes definidos en el inventario o roles (o lo que sea)

Syslog

  • syslog_server () Si está definido, todos los registros se enviarán allí
  • syslog_auth_server (syslog_server) Los registros de autenticación se enviarán allí

x509

  • x509_ca_file ('') archivo fuente para certificado(s) AC x509
  • x509_ca_path (/etc/ssl/ca.crt) ruta de destino para el archivo de certificado anterior

Mailrelay

  • is_mailrelay (False) No configura el relé de correo si es verdadero
  • mailrelay () Si está definido, nombre/IP del relé de correo

Ssh

  • sshd_allow_groups ('') definir AllowGroups en /etc/ssh/sshd_config

configuración básica de LDAP

  • ldap_base ('') baseDN ldap (para ldap.conf)
  • ldap_uri ('ldaps://ldapr.univ.fr/ ldaps://ldap.univ.fr/') URI para ldap.conf
  • ldap_tls_reqcert (never) valor para el mismo nombre en ldap.conf

Protocolo de Tiempo de Red (ntp)

Si alguno de ntp_servers o ntp_pools no está vacío el rol se encargará de ntp(d).conf y del servicio ntp

  • ntp_servers ([]) lista de servidores ntp
  • ntp_pools ([]) lista de pools ntp
  • ntp_listen_addrs ([]) IPs a las que escuchar (OpenBSD no escuchará en ningún lado sin esto, puede ser '*')
Acerca del proyecto

base role for working system here

role authorizedkeys mailviarelay ntp packages sshd syslog
Instalar
ansible-galaxy install criecm.common
GitHub repositorio
1 estrellas
0 bifurcaciones
0 problemas abiertos
Licencia
Unknown
Descargas
62.2k
Propietario
DSI Centrale Méditerranée
Direction des Systèmes d'Information