ansible-selinux-role

Pozwala na konfigurowanie SELinux.

Opcje konfiguracyjne:

• polityka
• stan
• booleany
• porty
• fcontexts

Wymagania

Testowane tylko na RHEL 7 i CentOS 7.

Ansible w wersji 2.0 lub wyższej

Zmienne roli

Nie musisz używać wszystkich tych bloków zmiennych, możesz użyć tylko tych opcji konfiguracyjnych, których naprawdę potrzebujesz.

Poniższe zmienne służą do konfigurowania polityki i stanu SELinux:

    selinux_config: (opcjonalne, domyślnie: /etc/selinux/config)
    selinux_policy: (opcjonalne, domyślnie: targeted)
    selinux_state:  (opcjonalne, tylko wartości: enforcing|permissive|disabled, domyślnie: enforcing)

Poniższe zmienne służą do włączania/wyłączania booleans SELinux:

    selinux_boolean: 
      nazwa_booleana_selinux:
        stan: (opcjonalne, tylko wartości: yes|no, domyślnie: yes)
        persistent: (opcjonalne, tylko wartości: yes|no, domyślnie: yes)

Poniższe zmienne służą do konfigurowania portów SELinux:

    selinux_ports: 
      nazwa_typu_selinux:
        porty: (wymagane, port lub zakres portów)
        protokół: (opcjonalne, tylko wartości: tcp|udp, domyślnie: tcp)
        stan: (opcjonalne, tylko wartości: present|absent, domyślnie: present)

Poniższe zmienne służą do konfigurowania kontekstów fcontext SELinux:

    selinux_fcontext: 
      nazwa_fcontext_selinux: (twój własny wybór dla lepszej dokumentacji w playbooku)
        file_spec: (wymagane, wyrażenie regularne opisujące dotknięte pliki)
        setype: (wymagane, istniejący typ selinux do oznaczenia plików w twoim file_spec)
        ftype: (opcjonalne, tylko wartości: a|b|c|d|f|l|p|s - zobacz manpage semanage-fcontext dla typu pliku, domyślnie: a - wszystkie pliki)
        stan: (opcjonalne, tylko wartości: present|absent, domyślnie: present)

Przykładowy Playbook

    - hosts: server
      become: yes
      become_user: root
      become_method: su
      roles:
        - { role: ansible-selinux-role }
      vars:
        selinux_policy: "targeted"
        selinux_state: "enforcing"
        selinux_boolean:
          antivirus_can_scan_system:
            stan: yes
            persistent: yes
          httpd_can_sendmail:
            stan: yes
            persistent: yes
        selinux_ports:
          ssh_port_t:
            porty: 2222
            protokół: tcp
            stan: present
          http_port_t:
            porty: 9000-9004
            protokół: tcp
            stan: present
        selinux_fcontext:
          vcloud_documentroot:
            file_spec: "/srv/www(.*)"
            setype: httpd_sys_rw_content_t
            ftype: a
            stan: present

Licencja

MIT