linux-system-roles.crypto_policies

Descripción general Versiones Perspectivas

políticas_cripto

ansible-lint.yml ansible-test.yml markdownlint.yml tft.yml tft_citest_bad.yml woke.yml

Este rol de Ansible gestiona las políticas de criptografía en todo el sistema.

Este concepto es ampliamente utilizado desde Red Hat Enterprise Linux 8 y en Fedora.

Requisitos

Ver a continuación.

Requisitos de colección

Si quieres gestionar sistemas rpm-ostree con este rol, necesitarás instalar colecciones adicionales. Por favor, ejecuta la siguiente línea de comando para instalar la colección.

ansible-galaxy collection install -vv -r meta/collection-requirements.yml

Variables del Rol

Por defecto, este rol solo reportará el estado del sistema como se describe en la siguiente sección.

  • crypto_policies_policy

Utiliza esta variable para especificar la política de criptografía deseada en el sistema objetivo, que puede ser la política base o una política base con subpolíticas aceptadas por la herramienta update-crypto-policies. Por ejemplo, FUTURE o DEFAULT:NO-SHA1:GOST. La política base y las subpolíticas especificadas deben estar disponibles en el sistema objetivo.

El valor predeterminado es null, lo que significa que la configuración no se cambia y el rol solo recolectará los datos a continuación.

La lista de políticas base disponibles en el sistema objetivo se puede encontrar en la variable crypto_policies_available_policies y la lista de subpolíticas disponibles en la variable crypto_policies_available_subpolicies.

  • crypto_policies_reload

Por defecto (true), la actualización de las políticas de criptografía fuerza la recarga de algunos de los demonios afectados por las políticas de criptografía en el sistema. Configurar false previene este comportamiento y es útil si el rol se ejecuta durante la inscripción del sistema o si se espera que otras tareas lo hagan más tarde.

  • crypto_policies_reboot_ok

Las políticas de criptografía no pueden conocer todas las aplicaciones personalizadas que utilizan bibliotecas criptográficas afectadas por el cambio de políticas, por lo que se recomienda reiniciar después de cambiar las políticas de criptografía para asegurarse de que todos los servicios y aplicaciones leerán los nuevos archivos de configuración. Por defecto (false), si se requiere un reinicio, este rol configurará la variable crypto_policies_reboot_required como se describe a continuación, y depende del usuario del rol reiniciar el sistema después, por ejemplo, después de aplicar algunos otros cambios que puedan necesitar un reinicio. Si no hay otras tareas en el playbook que requieran reinicio, puedes establecer este valor en true y este rol se encargará del reinicio cuando sea necesario.

  • crypto_policies_transactional_update_reboot_ok

Esta variable se utiliza para manejar los reinicios requeridos por actualizaciones transaccionales. Si una actualización transaccional requiere un reinicio, el rol procederá con el reinicio si crypto_policies_transactional_update_reboot_ok se establece en true. Si se establece en false, el rol notificará al usuario que se requiere un reinicio, permitiendo un manejo personalizado del requisito de reinicio. Si esta variable no está configurada, el rol fallará para asegurar que el requisito de reinicio no se pase por alto.

Variables Exportadas por el Rol

  • crypto_policies_active

Este hecho contiene el nombre de la política activa actualmente en el formato aceptado por la variable crypto_policies_policy mencionada anteriormente.

  • crypto_policies_available_policies

Esta es una lista de todas las políticas base disponibles en el sistema objetivo. Se pueden instalar archivos de políticas personalizadas copiando los archivos .pol en el directorio /etc/crypto-policies/policies (no implementado en este rol aún).

  • crypto_policies_available_subpolicies

Esta es una lista de todas las subpolíticas disponibles en el sistema objetivo. Se pueden instalar subpolíticas personalizadas copiando los archivos .pmod en el directorio /etc/crypto-policies/policies/modules (no implementado en este rol aún).

  • crypto_policies_available_modules

Alias obsoleto para crypto_policies_available_subpolicies.

  • crypto_policies_reboot_required

Predeterminado false - si es true, esto significa que se necesita un reinicio para aplicar los cambios hechos por el rol.

Ejemplo de Playbook

El siguiente playbook configura el sistema al nivel predeterminado de política de criptografía sin SHA1. La actualización se realiza sin reinicio (lo que se recomienda hacer por el usuario después).

- name: Gestionar políticas de criptografía
  hosts: all
  roles:
    - role: linux-system-roles.crypto_policies
      vars:
        crypto_policies_policy: "DEFAULT:NO-SHA1"
        crypto_policies_reload: false

rpm-ostree

Ver README-ostree.md

Licencia

MIT, consulta el archivo LICENSE para más información.

Información del Autor

Jakub Jelen, 2020

Acerca del proyecto

This Ansible role manages system-wide crypto policies.

role bind crypto el8 el9 el10 fedora gnutls java kerberos krb5 libssh networking nss openssh openssl redhat security ssh system tls
Instalar
ansible-galaxy install linux-system-roles.crypto_policies
GitHub repositorio
11 estrellas
21 bifurcaciones
1 problemas abiertos
Licencia
mit
Descargas
82.5k
Propietario