linux-system-roles.crypto_policies

Aperçu Versions Perspectives

crypto_policies

ansible-lint.yml ansible-test.yml markdownlint.yml tft.yml tft_citest_bad.yml woke.yml

Ce rôle Ansible gère les politiques de cryptographie au niveau du système.

Ce concept est bien adopté depuis Red Hat Enterprise Linux 8 et dans Fedora.

Exigences

Voir ci-dessous.

Exigences de collection

Si vous souhaitez gérer des systèmes rpm-ostree avec ce rôle, vous devez installer des collections supplémentaires. Veuillez exécuter la ligne de commande suivante pour installer la collection.

ansible-galaxy collection install -vv -r meta/collection-requirements.yml

Variables du rôle

Par défaut, ce rôle se contentera de signaler l'état du système comme décrit dans la section suivante.

  • crypto_policies_policy

Utilisez cette variable pour spécifier la politique de cryptographie souhaitée sur le système cible, qui peut être soit la politique de base, soit une politique de base avec des sous-politiques acceptées par l'outil update-crypto-policies. Par exemple FUTURE ou DEFAULT:NO-SHA1:GOST. La politique de base et les sous-politiques spécifiées doivent être disponibles sur le système cible.

La valeur par défaut est null, ce qui signifie que la configuration n'est pas modifiée et que le rôle se contentera de collecter les faits ci-dessous.

La liste des politiques de base disponibles sur le système cible se trouve dans la variable crypto_policies_available_policies et la liste des sous-politiques disponibles se trouve dans la variable crypto_policies_available_subpolicies.

  • crypto_policies_reload

Par défaut (true), la mise à jour des politiques de cryptographie force le rechargement de certains des daemons affectés par les politiques de cryptographie dans le système. La définition à false empêche ce comportement et est utile si le rôle est exécuté pendant l'inscription du système ou si d'autres tâches doivent l'effectuer plus tard.

  • crypto_policies_reboot_ok

Les politiques de cryptographie ne peuvent pas connaître toutes les applications personnalisées utilisant des bibliothèques de cryptographie qui sont affectées par le changement des politiques de cryptographie, il est donc recommandé de redémarrer après avoir changé les politiques pour s'assurer que tous les services et applications liront les nouveaux fichiers de configuration. Par défaut (false), si un redémarrage est nécessaire, ce rôle définira la variable crypto_policies_reboot_required comme décrit ci-dessous, et il appartient à l'utilisateur du rôle de redémarrer le système par la suite, par exemple après l'application d'autres changements qui pourraient nécessiter un redémarrage. S'il n'y a pas d'autres tâches dans le playbook qui nécessitent un redémarrage, vous pouvez définir cette valeur sur true et ce rôle gérera le redémarrage pour vous, si nécessaire.

  • crypto_policies_transactional_update_reboot_ok

Cette variable est utilisée pour gérer les redémarrages nécessaires par les mises à jour transactionnelles. Si une mise à jour transactionnelle nécessite un redémarrage, le rôle procédera au redémarrage si crypto_policies_transactional_update_reboot_ok est défini sur true. Si défini sur false, le rôle informera l'utilisateur qu'un redémarrage est nécessaire, permettant une gestion personnalisée de cette exigence de redémarrage. Si cette variable n'est pas définie, le rôle échouera pour s'assurer que l'exigence de redémarrage n'est pas négligée.

Variables exportées par le rôle

  • crypto_policies_active

Ce fait contient le nom de la politique actuellement active dans le format accepté par la variable crypto_policies_policy ci-dessus.

  • crypto_policies_available_policies

C'est une liste de toutes les politiques de base disponibles sur le système cible. Les fichiers de politique personnalisés peuvent être installés en copiant les fichiers .pol dans le répertoire /etc/crypto-policies/policies (pas encore implémenté dans ce rôle).

  • crypto_policies_available_subpolicies

C'est une liste de toutes les sous-politiques disponibles sur le système cible. Les sous-politiques personnalisées peuvent être installées en copiant les fichiers .pmod dans le répertoire /etc/crypto-policies/policies/modules (pas encore implémenté dans ce rôle).

  • crypto_policies_available_modules

Alias obsolète pour crypto_policies_available_subpolicies.

  • crypto_policies_reboot_required

Par défaut false - si true, cela signifie qu'un redémarrage est nécessaire pour appliquer les modifications apportées par le rôle.

Exemple de playbook

Le playbook suivant configure le système au niveau de politique de cryptographie par défaut sans SHA1. La mise à jour est effectuée sans redémarrage (ce qui est recommandé de faire par l'utilisateur par la suite).

- name: Gérer les politiques de cryptographie
  hosts: all
  roles:
    - role: linux-system-roles.crypto_policies
      vars:
        crypto_policies_policy: "DEFAULT:NO-SHA1"
        crypto_policies_reload: false

rpm-ostree

Voir README-ostree.md

Licence

MIT, voir le fichier LICENSE pour plus d'informations.

Informations sur l'auteur

Jakub Jelen, 2020

À propos du projet

This Ansible role manages system-wide crypto policies.

role bind crypto el8 el9 el10 fedora gnutls java kerberos krb5 libssh networking nss openssh openssl redhat security ssh system tls
Installer
ansible-galaxy install linux-system-roles.crypto_policies
GitHub référentiel
11 étoiles
21 forks
1 problèmes ouverts
Licence
mit
Téléchargements
82.5k
Propriétaire