linux-system-roles.crypto_policies

Przegląd Wersje Wgląd

Polityki kryptograficzne

ansible-lint.yml ansible-test.yml markdownlint.yml tft.yml tft_citest_bad.yml woke.yml

Ta rola Ansible zarządza politykami kryptograficznymi na poziomie systemu.

Ten koncept jest dobrze przyjęty od czasu Red Hat Enterprise Linux 8 oraz w Fedory.

Wymagania

Zobacz poniżej.

Wymagania dotyczące kolekcji

Jeśli chcesz zarządzać systemami rpm-ostree przy użyciu tej roli, musisz zainstalować dodatkowe kolekcje. Wykonaj następujące polecenie, aby zainstalować kolekcję.

ansible-galaxy collection install -vv -r meta/collection-requirements.yml

Zmienne roli

Domyślnie ta rola po prostu zgłasza status systemu, jak opisano w następnej sekcji.

  • crypto_policies_policy

Użyj tej zmiennej, aby określić pożądaną politykę kryptograficzną na docelowym systemie, która może być polityką bazową lub polityką bazową z subpolitykami akceptowanymi przez narzędzie update-crypto-policies. Na przykład FUTURE lub DEFAULT:NO-SHA1:GOST. Określona polityka bazowa i subpolityki muszą być dostępne na docelowym systemie.

Domyślna wartość to null, co oznacza, że konfiguracja nie jest zmieniana, a rola po prostu zbiera informacje.

Lista dostępnych polityk bazowych w docelowym systemie znajduje się w zmiennej crypto_policies_available_policies, a lista dostępnych subpolityk w zmiennej crypto_policies_available_subpolicies.

  • crypto_policies_reload

Domyślnie (true), aktualizacja polityk kryptograficznych powoduje ponowne załadowanie niektórych demonów, które są dotknięte politykami kryptograficznymi w systemie. Ustawienie na false zapobiega temu zachowaniu, co jest pomocne, gdy rola jest wykonywana podczas rejestracji systemu lub gdy oczekiwane są inne zadania do wykonania później.

  • crypto_policies_reboot_ok

Polityki kryptograficzne nie mogą znać wszystkich niestandardowych aplikacji korzystających z bibliotek kryptograficznych, które są dotknięte zmianą polityk kryptograficznych, dlatego zaleca się ponowne uruchomienie po zmianie polityk, aby upewnić się, że wszystkie usługi i aplikacje odczytają nowe pliki konfiguracyjne. Domyślnie (false), jeśli wymagane jest ponowne uruchomienie, ta rola ustawi zmienną crypto_policies_reboot_required, jak opisano poniżej, i to użytkownik roli decyduje o ponownym uruchomieniu systemu, na przykład po zastosowaniu innych zmian, które mogą wymagać ponownego uruchomienia. Jeśli w playbooku nie ma innych zadań wymagających ponownego uruchomienia, możesz ustawić tę wartość na true, a rola sama zajmie się ponownym uruchomieniem w razie potrzeby.

  • crypto_policies_transactional_update_reboot_ok

Ta zmienna jest używana do obsługi ponownych uruchomień wymaganych przez aktualizacje transakcyjne. Jeśli aktualizacja transakcyjna wymaga ponownego uruchomienia, rola przeprowadzi ponowne uruchomienie, jeśli crypto_policies_transactional_update_reboot_ok jest ustawione na true. Jeśli ustawione na false, rola poinformuje użytkownika, że ponowne uruchomienie jest wymagane, umożliwiając dostosowane zarządzanie tym wymaganiem. Jeśli ta zmienna nie jest ustawiona, rola zakończy działanie, aby upewnić się, że wymóg ponownego uruchomienia nie zostanie przeoczony.

Zmienne eksportowane przez rolę

  • crypto_policies_active

Ta informacja zawiera aktualnie aktywną nazwę polityki w formacie akceptowanym przez powyższą zmienną crypto_policies_policy.

  • crypto_policies_available_policies

To jest lista wszystkich dostępnych polityk bazowych w docelowym systemie. Niestandardowe pliki polityki można zainstalować, kopiując pliki .pol do katalogu /etc/crypto-policies/policies (jeszcze nie zaimplementowane w tej roli).

  • crypto_policies_available_subpolicies

To jest lista wszystkich dostępnych subpolityk w docelowym systemie. Niestandardowe subpolityki można zainstalować, kopiując pliki .pmod do katalogu /etc/crypto-policies/policies/modules (jeszcze nie zaimplementowane w tej roli).

  • crypto_policies_available_modules

Przestarzały alias dla crypto_policies_available_subpolicies.

  • crypto_policies_reboot_required

Domyślnie false - jeśli true, oznacza to, że wymagane jest ponowne uruchomienie, aby zastosować zmiany wprowadzone przez rolę.

Przykład playbooka

Poniższy playbook konfiguruje system do domyślnego poziomu polityki kryptograficznej bez SHA1. Aktualizacja jest wykonywana bez ponownego uruchomienia (co zaleca się robić przez użytkownika później).

- name: Zarządzaj politykami kryptograficznymi
  hosts: all
  roles:
    - role: linux-system-roles.crypto_policies
      vars:
        crypto_policies_policy: "DEFAULT:NO-SHA1"
        crypto_policies_reload: false

rpm-ostree

Zobacz README-ostree.md.

Licencja

MIT, zobacz plik LICENSE, aby uzyskać więcej informacji.

Informacje o autorze

Jakub Jelen, 2020

O projekcie

This Ansible role manages system-wide crypto policies.

role bind crypto el8 el9 el10 fedora gnutls java kerberos krb5 libssh networking nss openssh openssl redhat security ssh system tls
Zainstaluj
ansible-galaxy install linux-system-roles.crypto_policies
GitHub repozytorium
11 gwiazdki
21 forki
1 otwarte zgłoszenia
Licencja
mit
Pobrania
82.5k
Właściciel