chzerv.security

Przegląd Wersje Wgląd

Ansible Rola: Bezpieczeństwo

Waźne Zmiany: Od wersji v0.7, rola nie wspiera już opcji security_enforce_strong_passwords, security_log_after_failed_logins oraz security_nproc_limit. Błędna konfiguracja PAM może zablokować dostęp do systemu, więc muszę znaleźć lepszy sposób na ich implementację.

Pamiętaj, że zabezpieczenie TWOJEGO komputera/serwera jest TWOJĄ odpowiedzialnością. To bardzo podstawowy szablon, który powinien być używany jako szablon, a nie jako kompletne rozwiązanie.

Ta rola wykonuje podstawową konfigurację zabezpieczeń w systemach Linux opartych na RedHat/Debian/Archlinux, takie jak:

  • Instalacja i konfiguracja fail2ban w celu monitorowania błędnych logowań SSH.
  • Podstawowe wzmocnienie SSH, takie jak:
    • Wyłączenie logowania dla użytkownika root.
    • Wyłączenie uwierzytelniania hasłem.
    • Włączenie uwierzytelniania opartego na kluczach.
    • Zmiana domyślnego portu.
    • Wyłączenie znanych słabych algorytmów.
  • Ustawienie automatycznych aktualizacji.
  • Podstawowe wzmocnienie jądra.
  • Podstawowe wzmocnienie stosu TCP/IP.
  • Usunięcie pakietów według wyboru.
  • Wyłączenie zrzutów pamięci, używając limits.

Wymagania

  • Po uruchomieniu tej roli, dostęp SSH będzie możliwy tylko przy użyciu kluczy publicznych, dlatego Twoje klucze SSH muszą być już skopiowane na zdalny host. Zobacz ten wpis w ArchWiki, aby dowiedzieć się, jak łatwo skopiować klucze SSH na zdalny host.
  • Podstawowe zrozumienie tego, co robi każda ustawienie.

Zmienne Roli

Zależności

Brak.

Przykładowy Playbook

Zawieranie przykładu, jak używać swojej roli (na przykład, z przekazywanymi jako parametry zmiennymi) jest zawsze miłe dla użytkowników:

- hosts: server
  vars_files:
    - vars/main.yml

  roles:
    - { role: chzerv.security }

Plik vars/main.yml:

security_kern_go_hardcore: true
security_net_go_hardcore: true
security_autoupdates_enabled: true
security_autoupdates_type: "security"
security_fail2ban_enabled: true
security_fail2ban_harden_service: true

Licencja

MIT / BSD

O projekcie

Configure a Linux box to be more secure.

role fail2ban hardening kernel security ssh system
Zainstaluj
ansible-galaxy install chzerv.security
GitHub repozytorium
4 gwiazdki
0 forki
0 otwarte zgłoszenia
Licencja
mit
Pobrania
173
Właściciel
Chr Z
Open Source and Linux enthusiast, with a passion for automation and infrastructure.