linux-system-roles.crypto_policies

概要 バージョン 洞察

crypto_policies

ansible-lint.yml ansible-test.yml markdownlint.yml tft.yml tft_citest_bad.yml woke.yml

このAnsibleロールは、システム全体の暗号ポリシーを管理します。

この概念は、Red Hat Enterprise Linux 8およびFedoraで広く採用されています。

要件

以下を参照してください。

コレクションの要件

このロールを使用してrpm-ostreeシステムを管理する場合は、追加のコレクションをインストールする必要があります。以下のコマンドを実行してコレクションをインストールしてください。

ansible-galaxy collection install -vv -r meta/collection-requirements.yml

ロール変数

デフォルトでは、このロールは以下のセクションに記載されているシステムの状態を報告します。

  • crypto_policies_policy

この変数を使って、ターゲットシステムでの希望の暗号ポリシーを指定します。これは、基本ポリシーまたはupdate-crypto-policiesツールが受け入れるサブポリシーを持つ基本ポリシーになります。例えば、FUTUREDEFAULT:NO-SHA1:GOSTなどです。指定した基本ポリシーとサブポリシーは、ターゲットシステムで利用可能である必要があります。

デフォルト値はnullで、設定が変更されず、ロールは以下の情報を収集します。

ターゲットシステムで利用可能な基本ポリシーのリストはcrypto_policies_available_policies変数にあり、利用可能なサブポリシーのリストはcrypto_policies_available_subpolicies変数にあります。

  • crypto_policies_reload

デフォルト(true)では、暗号ポリシーの更新により、システム内のいくつかのデーモンが再読み込みされます。falseに設定するとこの動作を防ぎ、システムの登録中や他のフォローアップタスクが後で再読み込みを行う場合に役立ちます。

  • crypto_policies_reboot_ok

暗号ポリシーは、暗号ライブラリを使用しているすべてのカスタムアプリケーションを把握できないため、暗号ポリシーを変更した後は再起動を推奨します。デフォルト(false)では、再起動が必要な場合、ロールは下記のようにcrypto_policies_reboot_required変数を設定します。その後の再起動はロールのユーザーに任されます。他に再起動を必要とするタスクがない場合、この値をtrueに設定すると、ロールが必要に応じて再起動を処理します。

  • crypto_policies_transactional_update_reboot_ok

この変数は、トランザクショナルアップデートによる再起動を処理するために使用されます。トランザクショナルアップデートが再起動を必要とする場合、crypto_policies_transactional_update_reboot_oktrueに設定されていると、ロールは再起動を実行します。falseに設定されていると、再起動が必要であることをユーザーに通知し、再起動の要件をカスタムで処理できるようにします。この変数が設定されていない場合、ロールは再起動の要件を見落とさないように失敗します。

ロールによってエクスポートされる変数

  • crypto_policies_active

この情報は、上記のcrypto_policies_policy変数が受け入れる形式の現在のアクティブなポリシー名を含みます。

  • crypto_policies_available_policies

これは、ターゲットシステムで利用可能なすべての基本ポリシーのリストです。カスタムポリシーファイルは、.polファイルを/etc/crypto-policies/policiesディレクトリにコピーすることでインストールできます(このロールではまだ実装されていません)。

  • crypto_policies_available_subpolicies

これは、ターゲットシステムで利用可能なすべてのサブポリシーのリストです。カスタムサブポリシーは、.pmodファイルを/etc/crypto-policies/policies/modulesディレクトリにコピーすることでインストールできます(このロールではまだ実装されていません)。

  • crypto_policies_available_modules

crypto_policies_available_subpoliciesの廃止されたエイリアスです。

  • crypto_policies_reboot_required

デフォルトはfalse - trueの場合、ロールによって行われた変更を適用するために再起動が必要であることを意味します。

例プレイブック

以下のプレイブックは、SHA1なしのデフォルトの暗号ポリシーレベルにシステムを設定します。この更新は再起動なしで行われます(ユーザーが後で行うことを推奨します)。

- name: Manage crypto policies
  hosts: all
  roles:
    - role: linux-system-roles.crypto_policies
      vars:
        crypto_policies_policy: "DEFAULT:NO-SHA1"
        crypto_policies_reload: false

rpm-ostree

README-ostree.mdを参照してください。

ライセンス

MIT、詳細はLICENSEファイルを参照してください。

著者情報

Jakub Jelen, 2020

プロジェクトについて

This Ansible role manages system-wide crypto policies.

role bind crypto el8 el9 el10 fedora gnutls java kerberos krb5 libssh networking nss openssh openssl redhat security ssh system tls
インストール
ansible-galaxy install linux-system-roles.crypto_policies
GitHub リポジトリ
11 スター
21 フォーク
1 オープンな問題
ライセンス
mit
ダウンロード
82.5k
所有者