chzerv.security

Aperçu Versions Perspectives

Rôle Ansible : Sécurité

Changements Importants : À partir de la version 0.7, le rôle ne prend plus en charge les options security_enforce_strong_passwords, security_log_after_failed_logins et security_nproc_limit. Une mauvaise configuration de PAM peut vous empêcher d'accéder au système, donc je devrai trouver une meilleure façon de les implémenter.

N'oubliez pas, sécuriser VOTRE PC/serveur est VOTRE responsabilité. C'est un modèle très basique et il doit être utilisé comme un modèle, et non comme une solution complète.

Ce rôle effectue quelques configurations de sécurité de base sur des systèmes Linux basés sur RedHat/Debian/Archlinux, telles que :

  • Installer et configurer fail2ban pour surveiller les mauvaises tentatives de connexion SSH.
  • Renforcement de base de SSH, comme :
    • Désactiver la connexion root.
    • Désactiver l'authentification par mot de passe.
    • Activer l'authentification par clé.
    • Changer le port par défaut.
    • Désactiver les algorithmes faibles connus.
  • Mettre en place des mises à jour automatiques.
  • Renforcement de base du noyau.
  • Renforcement de base de la pile TCP/IP.
  • Supprimer les paquets de votre choix.
  • Désactiver les dumps mémoire, en utilisant limits.

Exigences

  • Après avoir exécuté ce rôle, l'accès SSH ne sera possible que par les clés publiques, par conséquent, vos clés SSH doivent déjà être copiées sur l'hôte distant. Consultez cet article de l'ArchWiki pour savoir comment copier facilement vos clés SSH sur l'hôte distant.
  • Compréhension de base de ce que fait chaque paramètre.

Variables du Rôle

Dépendances

Aucune.

Exemple de Playbook

Inclure un exemple sur la façon d'utiliser votre rôle (par exemple, avec des variables passées comme paramètres) est toujours apprécié par les utilisateurs :

- hosts: serveur
  vars_files:
    - vars/main.yml

  roles:
    - { role: chzerv.security }

Le fichier vars/main.yml :

security_kern_go_hardcore: true
security_net_go_hardcore: true
security_autoupdates_enabled: true
security_autoupdates_type: "security"
security_fail2ban_enabled: true
security_fail2ban_harden_service: true

Licence

MIT / BSD

À propos du projet

Configure a Linux box to be more secure.

role fail2ban hardening kernel security ssh system
Installer
ansible-galaxy install chzerv.security
GitHub référentiel
4 étoiles
0 forks
0 problèmes ouverts
Licence
mit
Téléchargements
173
Propriétaire
Chr Z
Open Source and Linux enthusiast, with a passion for automation and infrastructure.