Outils de Shadow

Gérez la configuration du package d'outils de shadow utilisé pour gérer les comptes d'utilisateurs et de groupes sur les systèmes.

Les meilleures pratiques de sécurité ont été appliquées aux configurations par défaut ; cependant, il est toujours nécessaire d'examiner attentivement, car cela ne garantit rien.

Exigences

Ansible 2.8+

Systèmes d'exploitation supportés

• Debian 10
• CentOS 8

Variables de rôle

# options de configuration de useradd
# #######################

# Shell par défaut créé avec useradd
shadow_utils_shell: "{{ shadow_utils__shell }}"

# Le GID de l'utilisateur (100=users), utilisé si aucun autre groupe n'est spécifié.
shadow_utils_group: 100

# Nombre de jours après l'expiration du mot de passe jusqu'à ce que le compte soit désactivé définitivement. -1 pour désactiver.
shadow_utils_inactive: 60

# La date d'expiration par défaut
shadow_utils_expire: null

# Le répertoire personnel par défaut
shadow_utils_home: "/home"

# La structure squelettique à copier dans le répertoire personnel du nouvel utilisateur.
shadow_utils_skel: "/etc/skel"

# Créer un spool de mail pour les nouveaux utilisateurs par défaut
shadow_utils_create_mail_spool: false

# options de configuration de login.defs
# #########################

# Le répertoire du spool de mail. Ceci est nécessaire pour manipuler la boîte aux lettres lorsque son compte utilisateur correspondant est modifié ou supprimé.
shadow_utils_mail_dir: "{{ shadow_utils__mail_dir }}"

# Définit l'emplacement des fichiers spool de mail des utilisateurs par rapport à leur répertoire personnel
shadow_utils_mail_file: null

# Activer la journalisation et l'affichage des informations de connexion échouées dans /var/log/faillog.
# Cette option entre en conflit avec le module PAM pam_tally.
shadow_utils_faillog_enab: true

# Activer l'affichage des noms d'utilisateurs inconnus lorsque des échecs de connexion sont enregistrés.
shadow_utils_log_unkfail_enab: true
 
# Activer la journalisation des connexions réussies.
shadow_utils_log_ok_logins: false

# Activer la journalisation "syslog" de l'activité su - en plus de la journalisation dans le fichier sulog.
shadow_utils_syslog_su_enab: true

# Activer la journalisation "syslog" de l'activité sg.
shadow_utils_syslog_sg_enab: true
 
# Si défini, toute l'activité su est enregistrée dans ce fichier.
shadow_utils_sulog_file: '/var/log/su.log'

shadow_utils_ftmp_file: '/var/log/btmp'

# Si défini, fichier qui lie la ligne tty au paramètre d'environnement TERM
shadow_utils_ttytype_file: null

# Si défini, le nom de la commande à afficher lors de l'exécution de "su -".
shadow_utils_su_name: 'su'

# Si défini, supprime les messages de connexion. Si un chemin complet est fourni, le mode silencieux est activé pour les noms d'utilisateurs dans le fichier spécifié ; sinon,
# le mode silencieux est activé si le fichier existe dans le répertoire de l'utilisateur.
shadow_utils_hushlogin_file: '.hushlogin'

# Définit la variable PATH d'un superutilisateur lors de la connexion
shadow_utils_env_supath: 
    - '/usr/local/sbin'
    - '/usr/local/bin'
    - '/usr/sbin'
    - '/usr/bin'
    - '/sbin'
    - '/bin'

# Définit la variable PATH d'un utilisateur ordinaire lors de la connexion
shadow_utils_env_path: 
    - '/usr/local/bin'
    - '/usr/bin'
    - '/bin'
    - '/usr/local/games'
    - '/usr/games'

# Les permissions du terminal.
shadow_utils_ttygroup: 'tty'
shadow_utils_ttyperm: '0600'

# Caractère d'effacement du terminal (010 = backspace, 0177 = DEL)
shadow_utils_erasechar: '0177'

# Caractère de suppression du terminal (025 = CTRL/U)
shadow_utils_killchar: '025'

# Le masque de création de fichiers est initialisé à cette valeur.
shadow_utils_umask: '077'
# - 022: fichiers - 640 (rw-rw----), répertoires - 750 (rwxrwx---)
# - 027: fichiers - 640 (rw-r-----), répertoires - 750 (rwxr-x---)
# - 077: fichiers - 640 (rw-------), répertoires - 750 (rwx------)

# Le nombre maximum de jours pendant lesquels un mot de passe peut être utilisé. Si le mot de passe est plus ancien que cela, un changement de mot de passe sera forcé.
shadow_utils_pass_max_days: 366

# Le nombre minimum de jours autorisés entre les changements de mot de passe. Toute tentative de changement de mot de passe plus tôt que cela sera rejetée.
shadow_utils_pass_min_days: 1

# Le nombre de jours d'avertissement avant qu'un mot de passe n'expire.
shadow_utils_pass_warn_age: 31

# Plage d'ID utilisateur utilisée pour la création d'utilisateurs réguliers
shadow_utils_uid_min: 1000
shadow_utils_uid_max: 60000

# Plage d'ID utilisateur utilisée pour la création d'utilisateurs système
shadow_utils_sys_uid_min: 201
shadow_utils_sys_uid_max: 999

# Plage d'ID de groupe utilisée pour la création de groupes réguliers
shadow_utils_gid_min: 1000
shadow_utils_gid_max: 60000

# Plage d'ID de groupe utilisée pour la création de groupes système
shadow_utils_sys_gid_min: 201
shadow_utils_sys_gid_max: 999

# Nombre maximum de tentatives de connexion en cas de mauvais mot de passe.
# Cela sera très probablement remplacé par PAM, mais peut être un bon recours.
shadow_utils_login_retries: 5

# Temps maximum en secondes pour la connexion.
shadow_utils_login_timeout: 60

# Spécifiez les champs géco qu'un utilisateur peut changer avec chfn.
# f - Nom complet, r - Numéro de salle, w - Téléphone professionnel, h - Téléphone personnel
shadow_utils_chfn_restrict: 'rwh'

# Autoriser les utilisateurs à se connecter si nous ne pouvons pas accéder au répertoire personnel
shadow_utils_default_home: false

# Créer par défaut le répertoire personnel des nouveaux utilisateurs
shadow_utils_create_home: true

# Si défini, cette commande est exécutée lors de la suppression d'un utilisateur
shadow_utils_userdel_cmd: null

# Créer un groupe par défaut pour les nouveaux utilisateurs avec le même nom, et supprimer le groupe de l'utilisateur s'il est vide lors de la suppression de l'utilisateur.
shadow_utils_usergroups_enab: true

# Méthode de cryptage par défaut pour le cryptage des mots de passe
shadow_utils_encrypt_method: 'SHA512'

Dépendances

Aucune

Exemple de Playbook

- hosts: serveurs
  tasks:
    - name: "Inclure shadow_utils"
      include_role:
        name: "shadow_utils"

Licence

LGPLv3

Informations sur l'auteur

• Robert Brightling | GitLab | GitHub