criecm.common

Przegląd Wersje Wgląd

wspólny - rola bazowego systemu

  • CA x509
  • klient OpenLDAP + konfiguracja
  • konfiguracja przekazywania poczty (tylko is_mailrelay == False i mailrelay != '')
    • Debian: postfix
    • FreeBSD: sendmail
    • OpenBSD: smtpd
  • linie konfiguracyjne sshd (jako zmienne, patrz defaults/main.yml)
  • centralny syslog:
    • chyba że is_syslogd=True
    • tylko jeśli syslog_server istnieje
  • wdrożenie kluczy ssh files/keys_ssh/*.pub
  • /usr/local/admin/sysutils/common z GIT (i więcej w zależności od zmiennych)
  • cron codziennie/tygodniowo ecm (i usunięcie starych z CVS)
  • snmpd (TODO: Debian i OpenBSD)
  • preferowana powłoka dla roota + konfiguracja + aliasy
  • dodatkowe pakiety (zmienna pkgs)

szablony i pliki

konfiguracja sshd i autoryzowane klucze

  • Pliki zgodne z keys_ssh/*.pub będą autoryzowane na koncie roota
  • Pliki zgodne z keys_ssh/*.del będą usunięte
  • Plik vimrc w files/ zostanie zainstalowany jako /root/.vimrc

klucze ssh

  • Pliki zgodne z {{ playbook_dir }}/files/ssh/{{ inventory_hostname }}/ssh_host.*_key(.pub)? będą zainstalowane na demonie ssh hosta.

Zmienne

  • host_timezone (Europe/Paris)
  • is_resolver (False) jeśli True, będzie używać 127.0.0.1 w resolv.conf jako pierwsze
  • resolvers ( [{ network='0.0.0.0/0', ip='8.8.8.8' }] ) lista słowników, ip będzie używane jeśli host pasuje do sieci (w wymienionej kolejności)
  • dns64_resolvers ([]) dla hostów tylko IP6, nadpisuje mechanizm resolvers z resolverami DNS64
  • rootmailto () adres e-mail do przekazywania poczty roota
  • gits_root ('/root') ścieżka dla względnej ścieżki w gits
  • gits_group ('') grupa będąca właścicielem gits_root
  • gits_mode ('0750') tryb katalogu dla gits_root
  • gits, host_gits, group_gits i role_gits ([]) listy słowników: każdy MUSI mieć przynajmniej
    • repo: adres URL gita do sklonowania
    • dest: ścieżka docelowa (absolutna lub względna do gits_root) a MOŻE mieć:
    • umask ('0022')
    • update (False)
    • version (master)
  • crons, host_crons, role_crons: lista słowników dla modułu cron
  • ocsinventory_server ('') Jeśli obecne, zainstaluje i skonfiguruje openinventory-agent
  • root_shell (zsh) Ustaw tutaj swoją preferowaną powłokę :) (lub zostaw puste, aby pominąć wszystko to) umieść swój plik rc w {{ playbook_dir }}/files/{{ root_shell }}rc
  • do_smart (True jeśli nie jail/vm) skonfiguruj smartd do alertów dyskowych
  • smart_mailto ('') Podaj swój adres e-mail, jeśli chcesz otrzymywać alerty pocztą
  • backup_dir (files/backups/{{ inventory_hostname }}) skopiuj klucze ssh hosta i przywróć pliki /root/ stąd, jeśli są
  • monitoring_from ([]) lista sieci do zezwolenia na snmp
  • http_proxy ('') Aby ustawić globalne wartości http_proxy i https_proxy (tylko FreeBSD)

Specyfika FreeBSD

  • pkg_repo_conf (pkgecm.conf) nazwa pliku konfiguracyjnego repozytorium pkg, który ma być zainstalowany jako pierwszy
  • is_jail (False) jeśli True, pominie narzędzia monitorujące sprzęt (smart, ipmi, snmp, dmidecode)
  • freebsd_base_pkgs ([git,rsync,vim-console,root_shell]) lista pakietów do zainstalowania

Specyfika OpenBSD

  • openbsd_base_pkgs ([git,rsync,vim--no_x11,root_shell]) lista pakietów do zainstalowania
  • openbsd_pkg_mirror ("http://ftp.openbsd.org") lustro do użycia

Specyfika Debiana

  • debian_base_pkgs (git,rsync,vim,root_shell]) lista pakietów do zainstalowania

Pakiety

  • pkgs ([]) dodatkowe pakiety do zainstalowania za pomocą systemu pakietów dystrybucji
  • host_pkgs role_pkgs ([]) inne pakiety zdefiniowane w inwentarzu lub rolach (lub cokolwiek innego)

Syslog

  • syslog_server () Jeśli zdefiniowane, wszystkie logi będą wysyłane tam
  • syslog_auth_server (syslog_server) Logi autoryzacyjne będą wysyłane tam

x509

  • x509_ca_file ('') plik źródłowy dla certyfikatów AC x509
  • x509_ca_path (/etc/ssl/ca.crt) ścieżka docelowa dla powyższego pliku certyfikatu

Przekazywanie poczty

  • is_mailrelay (False) Nie konfiguruje przekazywania poczty, jeśli True
  • mailrelay () Jeśli zdefiniowane, nazwa/IP przekazywania poczty

Ssh

  • sshd_allow_groups ('') zdefiniuj AllowGroups w /etc/ssh/sshd_config

Podstawowa konfiguracja LDAP

  • ldap_base ('') baseDN ldap (dla ldap.conf)
  • ldap_uri ('ldaps://ldapr.univ.fr/ ldaps://ldap.univ.fr/') URI dla ldap.conf
  • ldap_tls_reqcert (nigdy) wartość dla tej samej nazwy w ldap.conf

Protokół czasu sieciowego (ntp)

Jeśli jakikolwiek z ntp_servers lub ntp_pools nie jest pusty, rola zajmie się ntp(d).conf i usługą ntp

  • ntp_servers ([]) lista serwerów ntp
  • ntp_pools ([]) lista pul ntp
  • ntp_listen_addrs ([]) IP do nasłuchiwania (OpenBSD nie będzie nasłuchiwać nigdzie bez tego, może być '*')
O projekcie

base role for working system here

role authorizedkeys mailviarelay ntp packages sshd syslog
Zainstaluj
ansible-galaxy install criecm.common
GitHub repozytorium
1 gwiazdki
0 forki
0 otwarte zgłoszenia
Licencja
Unknown
Pobrania
62.2k
Właściciel
DSI Centrale Méditerranée
Direction des Systèmes d'Information