siw36.ansible_ssh_hardening
ansible-ssh-hardening
Ce rôle exécute des tâches de base pour durcir SSH, y compris :
- Changer le port SSH
- Désactiver l'authentification par mot de passe SSH
- Configurer les paramètres SELinux
- Autoriser le nouveau port SSH dans firewalld
- Installer et configurer fail2ban pour SSH
Obtenir ce rôle
ansible-galaxy install --roles-path ./roles/ siw36.ansible_ssh_hardening
Conditions requises
- Système d'exploitation basé sur RHEL (RHEL/CentOS/Fedora)
- Python 3 en tant qu'interpréteur Python par défaut
- L'utilisateur utilisé sur l'hôte distant doit avoir les permissions pour exécuter des commandes
sudosans confirmation de mot de passe.
Variables du rôle
| Nom | Description | Valeur par défaut |
|---|---|---|
| sshPort | Nouveau port SSH | 1337 |
| f2bEnabled | Activer fail2ban pour SSH | true |
| f2bRetries | Nombre d'échecs de connexion autorisés avant le bannissement | 5 |
| f2bBanTime | Temps de bannissement en secondes | 3600 |
| f2bIgnoreIP | Liste des IPs/Sous-réseaux ignorés | 127.0.0.1/32 |
| vmAdmins | Liste des comptes utilisateurs et clés publiques SSH ayant accès à la machine | <aucun - optionnel> |
| allowedInterfaces | Liste des interfaces réseau sur lesquelles le service SSHD doit être disponible | <aucun - optionnel> |
Exemple de Playbook
playbook.yml
- hosts: servers
become: true
roles:
- siw36.ansible_ssh_hardening
vars/main.yml
vmAdmins:
- user: siw36
sshKey: ssh-rsa xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx siw36
allowedInterfaces:
- eth0
Licence
Licence Publique Générale GNU v3.0
Informations sur l'auteur
Créé par Robin 'siw36' Klussmann (07/2019)
Installer
ansible-galaxy install siw36.ansible_ssh_hardeningLicence
Unknown
Téléchargements
168
Propriétaire
Platform & DevOps Engineer