Shadow Utils

Gestiona la configuración del paquete shadow utilities utilizado para administrar cuentas de usuarios y grupos en los sistemas.

Se han aplicado buenas prácticas de seguridad a las configuraciones predeterminadas; sin embargo, siempre se debe asegurar un escrutinio suficiente, ya que esto no es una garantía.

Requisitos

Ansible 2.8+

Sistemas Operativos Soportados

• Debian 10
• CentOS 8

Variables del Rol

# Opciones de configuración de useradd
# #######################

# Shell predeterminado creado con useradd
shadow_utils_shell: "{{ shadow_utils__shell }}"

# El GID del usuario (100=usuarios), utilizado si no se especifican otros grupos.
shadow_utils_group: 100

# Número de días después de que la contraseña expire hasta que la cuenta se desactive permanentemente. -1 para desactivar.
shadow_utils_inactive: 60

# La fecha de caducidad predeterminada
shadow_utils_expire: null

# El directorio de inicio predeterminado
shadow_utils_home: "/home"

# La estructura esquelética para copiar en el directorio de inicio del nuevo usuario.
shadow_utils_skel: "/etc/skel"

# Crear un bucle de correo para nuevos usuarios por defecto
shadow_utils_create_mail_spool: false

# Opciones de configuración de login.defs
# #########################

# El directorio del bucle de correo. Esto es necesario para manipular el correo cuando se modifica o elimina la cuenta de usuario correspondiente.
shadow_utils_mail_dir: "{{ shadow_utils__mail_dir }}"

# Define la ubicación de los archivos de bucle de correo del usuario en relación con su directorio de inicio
shadow_utils_mail_file: null

# Habilita el registro y la visualización de información de fallos de inicio de sesión en /var/log/faillog.         
# Esta opción entra en conflicto con el módulo PAM pam_tally.
shadow_utils_faillog_enab: true

# Habilita la visualización de nombres de usuario desconocidos cuando se registran fallos de inicio de sesión.
shadow_utils_log_unkfail_enab: true
 
# Habilita el registro de inicios de sesión exitosos.
shadow_utils_log_ok_logins: false

# Habilita el registro "syslog" de la actividad de su - además del registro en sulog.
shadow_utils_syslog_su_enab: true

# Habilita el registro "syslog" de la actividad de sg.
shadow_utils_syslog_sg_enab: true
 
# Si se define, toda la actividad de su se registra en este archivo.
shadow_utils_sulog_file: '/var/log/su.log'

shadow_utils_ftmp_file: '/var/log/btmp'

# Si se define, archivo que mapea la línea tty al parámetro de entorno TERM
shadow_utils_ttytype_file: null

# Si se define, el nombre del comando a mostrar al ejecutar "su -".
shadow_utils_su_name: 'su'

# Si se define, suprime los mensajes de inicio de sesión. Si es una ruta completa, se habilita el modo silencioso para los nombres de usuario en el archivo especificado; de lo contrario,
# el modo silencioso se habilita si el archivo existe en el directorio del usuario.
shadow_utils_hushlogin_file: '.hushlogin'

# Establece la variable PATH de un superusuario al iniciar sesión
shadow_utils_env_supath: 
    - '/usr/local/sbin'
    - '/usr/local/bin'
    - '/usr/sbin'
    - '/usr/bin'
    - '/sbin'
    - '/bin'

# Establece la variable PATH de un usuario regular al iniciar sesión
shadow_utils_env_path: 
    - '/usr/local/bin'
    - '/usr/bin'
    - '/bin'
    - '/usr/local/games'
    - '/usr/games'

# Los permisos del terminal.
shadow_utils_ttygroup: 'tty'
shadow_utils_ttyperm: '0600'

# Carácter de BORRAR del terminal (010 = retroceso, 0177 = DEL)
shadow_utils_erasechar: '0177'

# Carácter de KILL del terminal (025 = CTRL/U)
shadow_utils_killchar: '025'

# La máscara de creación de archivos se inicializa en este valor.
shadow_utils_umask: '077'
# - 022: archivos - 640 (rw-rw----), directorios - 750 (rwxrwx---)
# - 027: archivos - 640 (rw-r-----), directorios - 750 (rwxr-x---)
# - 077: archivos - 640 (rw-------), directorios - 750 (rwx------)

# El número máximo de días que se puede usar una contraseña. Si la contraseña es más antigua que esto, se forzará el cambio de contraseña.
shadow_utils_pass_max_days: 366

# El número mínimo de días permitidos entre los cambios de contraseña. Cualquier intento de cambio de contraseña antes de esto será rechazado.
shadow_utils_pass_min_days: 1

# El número de días de advertencia dado antes de que expire una contraseña.
shadow_utils_pass_warn_age: 31

# Rango de IDs de usuario utilizados para la creación de usuarios regulares
shadow_utils_uid_min: 1000
shadow_utils_uid_max: 60000

# Rango de IDs de usuario utilizados para la creación de usuarios del sistema
shadow_utils_sys_uid_min: 201
shadow_utils_sys_uid_max: 999

# Rango de IDs de grupo utilizados para la creación de grupos regulares
shadow_utils_gid_min: 1000
shadow_utils_gid_max: 60000

# Rango de IDs de grupo utilizados para la creación de grupos del sistema
shadow_utils_sys_gid_min: 201
shadow_utils_sys_gid_max: 999

# Número máximo de reintentos de inicio de sesión en caso de contraseña incorrecta.
# Esto probablemente será anulado por PAM, pero puede ser una opción segura de respaldo.
shadow_utils_login_retries: 5

# Tiempo máximo en segundos para el inicio de sesión.
shadow_utils_login_timeout: 60

# Especifica los campos gecos que un usuario puede cambiar con chfn. 
# f - Nombre completo, r - Número de habitación, w - Teléfono del trabajo, h - Teléfono de casa
shadow_utils_chfn_restrict: 'rwh'

# Permitir el inicio de sesión de usuarios si no podemos acceder al directorio de inicio
shadow_utils_default_home: false

# Crear el directorio de inicio del nuevo usuario por defecto
shadow_utils_create_home: true

# Si se define, este comando se ejecuta al eliminar un usuario
shadow_utils_userdel_cmd: null

# Crear un grupo predeterminado para nuevos usuarios con el mismo nombre, y eliminar el grupo del usuario si está vacío cuando se elimina el usuario. 
shadow_utils_usergroups_enab: true

# Algoritmo de encriptación predeterminado para encriptar contraseñas
shadow_utils_encrypt_method: 'SHA512'

Dependencias

Ninguna

Ejemplo de Playbook

- hosts: servidores
  tasks:
    - name: "Incluir shadow_utils"
      include_role:
        name: "shadow_utils"

Licencia

LGPLv3

Información del Autor

• Robert Brightling | GitLab | GitHub