triplepoint.secure_device

Aperçu Versions Perspectives

Introduction

L'objectif de ce rôle est de configurer un serveur de manière aussi générique que possible, suffisamment sécurisé pour faire face à Internet public et ne pas tomber en panne immédiatement.

En résumé :

  • Installer Fail2ban pour rendre les tentatives d'authentification malveillantes plus difficiles
  • Désactiver l'accès SSH pour l'utilisateur root
  • Désactiver l'authentification SSH par mot de passe pour tout le monde (uniquement par clés)
  • Désactiver l'accès SSH et sudo pour tout le monde et créer un ensemble d'utilisateurs autorisés
  • Limiter l'accès SSH à une plage d'adresses IP spécifique
  • Installer ufw et désactiver tout le trafic, avec des exceptions de port configurables (optionnel)
  • Installer unattended-upgrades et le configurer pour des mises à jour de sécurité automatiques des paquets apt
  • Installer un serveur ntp pour garantir une heure système fiable
  • Installer logwatch et le configurer pour envoyer des rapports de journal quotidiens à une adresse email d'administrateur

Évidemment, il est préférable d'examiner les détails de ce rôle avant de l'utiliser, car aucune garantie de sécurité ne peut être fournie.

Exigences

Aucune.

Variables du Rôle

Consultez le commentaire dans le fichier de variables par défaut pour des informations sur la configuration.

Dépendances

Aucune.

Exemple de Playbook

- hosts: whatever
  roles:
    - triplepoint.secure_device

Tests du Rôle

Ce rôle est testé avec molecule, en utilisant pipenv pour gérer les dépendances et l'environnement de test Python.

Configuration de Votre Environnement d'Exécution

pip install pipenv

Une fois que vous avez installé pipenv, vous pouvez créer l'environnement virtuel d'exécution avec :

pipenv install --dev

Exécution des Tests

Une fois votre environnement configuré, vous pouvez exécuter molecule avec :

pipenv run molecule test

Régénérer le Fichier Lock

Vous ne devriez pas avoir à faire cela très souvent, mais si vous modifiez les exigences des paquets Python en utilisant les commandes pipenv install {un_paquet} ou en éditant le Pipfile directement, ou si vous constatez que les dépendances de build ne sont plus à jour, vous devrez peut-être régénérer le Pipfile.lock.

pipenv update --dev

N'oubliez pas de valider le Pipfile.lock régénéré une fois le processus terminé.

Licence

MIT

À propos du projet

A role responsible for some basic security tweaks for internet-facing machines

role security usermanagement
Installer
ansible-galaxy install triplepoint.secure_device
GitHub référentiel
0 étoiles
0 forks
2 problèmes ouverts
Licence
mit
Téléchargements
212
Propriétaire