イントロ

この役割の目標は、できるだけ一般的に機械を立ち上げ、公共インターネットに対して安全で、すぐに故障しないようにすることです。

大まかに言うと：

• 悪意のある認証試行を難しくするために、Fail2banをインストールする
• root ユーザーのSSHを無効にする
• すべてのユーザーに対してパスワードSSH認証を無効にし、鍵認証だけを許可する
• すべてのユーザーのSSHおよび sudo アクセスを無効にし、ホワイトリストに登録されたユーザーのセットを作成して設定する
• 特定のIPアドレス範囲にSSHアクセスを制限する
• ufw をインストールし、すべてのトラフィックを無効にして、設定可能なポートの例外を作成する（オプション）
• 自動的にaptパッケージのセキュリティ更新を行うために unattended-upgrades をインストールして設定する
• 正確なシステム時間を確保するために ntp サーバーをインストールする
• logwatch をインストールし、日々のログレポートを管理者のメールアドレスに送信するように設定する

明らかに、この役割は使用する前に詳細を確認するのが良いでしょう。セキュリティについての保証はできません。

要件

なし。

役割変数

設定に関する情報は、デフォルトの変数ファイルのコメントを参照してください。

依存関係

なし。

サンプルプレイブック

- hosts: whatever
  roles:
    - triplepoint.secure_device

ロールテスト

このロールは molecule でテストされており、依存関係とPythonテスト環境を管理するために pipenv を使用しています。

実行環境の設定

pip install pipenv

pipenv をインストールしたら、以下のコマンドで実行用の仮想環境を構築できます：

pipenv install --dev

テストの実行

環境が設定できたら、次のコマンドで molecule を実行します：

pipenv run molecule test

ロックファイルの再生成

これは頻繁に行う必要はありませんが、pipenv install {some_package} コマンドを使ったり、Pipfile を直接編集したり、ビルド依存関係が古くなった場合には、Pipfile.lock を再生成する必要があるかもしれません。

pipenv update --dev

このプロセスが完了したら、再生成された Pipfile.lock を必ずチェックインしてください。

ライセンス

MIT