Shadow Utils

Zarządzaj konfiguracją pakietu shadow utilities, który służy do zarządzania kontami użytkowników i grup w systemach.

Zastosowano najlepsze praktyki bezpieczeństwa w domyślnych konfiguracjach; jednak zawsze należy upewnić się, że są one wystarczająco sprawdzone, ponieważ to nie jest gwarancja.

Wymagania

Ansible 2.8+

Obsługiwane systemy operacyjne

• Debian 10
• CentOS 8

Zmienne roli

# opcje konfiguracyjne useradd
# #######################

# Domyślny powłok dla nowego użytkownika stworzonego przez useradd
shadow_utils_shell: "{{ shadow_utils__shell }}"

# GID użytkownika (100=users), używane, jeśli nie są podane inne grupy. 
shadow_utils_group: 100

# Liczba dni po wygaśnięciu hasła, po których konto zostaje trwale zablokowane. -1 aby wyłączyć.
shadow_utils_inactive: 60

# Domyślna data wygaśnięcia
shadow_utils_expire: null

# Domyślny katalog domowy
shadow_utils_home: "/home"

# Struktura szkieletowa kopiowana do katalogu domowego nowego użytkownika.
shadow_utils_skel: "/etc/skel"

# Domyślnie twórz skrzynkę pocztową dla nowych użytkowników
shadow_utils_create_mail_spool: false

# opcje konfiguracyjne login.defs
# #########################

# Katalog skrzynki pocztowej. Jest to potrzebne do manipulowania skrzynką pocztową, gdy odpowiednie konto użytkownika jest modyfikowane lub usuwane.
shadow_utils_mail_dir: "{{ shadow_utils__mail_dir }}"

# Określa lokalizację plików skrzynki pocztowej użytkowników w odniesieniu do ich katalogu domowego
shadow_utils_mail_file: null

# Włącz logowanie i wyświetlanie informacji o nieudanych logowaniach w /var/log/faillog.         
# Ta opcja jest w konflikcie z modułem pam_tally PAM.
shadow_utils_faillog_enab: true

# Włącz wyświetlanie nieznanych nazw użytkowników podczas rejestrowania nieudanych logowań.
shadow_utils_log_unkfail_enab: true
 
# Włącz logowanie udanych logowań.
shadow_utils_log_ok_logins: false

# Włącz logowanie aktywności su w "syslog" - oprócz logowania w pliku sulog.
shadow_utils_syslog_su_enab: true

# Włącz logowanie aktywności sg w "syslog".
shadow_utils_syslog_sg_enab: true
 
# Jeśli zdefiniowane, cała aktywność su jest logowana do tego pliku.
shadow_utils_sulog_file: '/var/log/su.log'

shadow_utils_ftmp_file: '/var/log/btmp'

# Jeśli zdefiniowane, plik, który mapuje linię tty do parametru środowiskowego TERM
shadow_utils_ttytype_file: null

# Jeśli zdefiniowane, nazwa polecenia wyświetlana podczas uruchamiania "su -".
shadow_utils_su_name: 'su'

# Jeśli zdefiniowane, tłumi komunikaty logowania. Jeśli to pełna ścieżka, to tłumienie jest włączane dla nazw użytkowników w określonym pliku; w przeciwnym razie,
# tłumienie jest włączone, jeśli plik istnieje w katalogu użytkownika.
shadow_utils_hushlogin_file: '.hushlogin'

# Ustawia zmienną PATH superużytkownika przy logowaniu
shadow_utils_env_supath: 
    - '/usr/local/sbin'
    - '/usr/local/bin'
    - '/usr/sbin'
    - '/usr/bin'
    - '/sbin'
    - '/bin'

# Ustawia zmienną PATH zwykłego użytkownika przy logowaniu
shadow_utils_env_path: 
    - '/usr/local/bin'
    - '/usr/bin'
    - '/bin'
    - '/usr/local/games'
    - '/usr/games'

# Uprawnienia terminala.
shadow_utils_ttygroup: 'tty'
shadow_utils_ttyperm: '0600'

# Znak kasowania terminala (010 = backspace, 0177 = DEL)
shadow_utils_erasechar: '0177'

# Znak KILL terminala (025 = CTRL/U)
shadow_utils_killchar: '025'

# Maska tworzenia trybów plików jest inicjowana do tej wartości.
shadow_utils_umask: '077'
# - 022: pliki - 640 (rw-rw----), katalogi - 750 (rwxrwx---)
# - 027: pliki - 640 (rw-r-----), katalogi - 750 (rwxr-x---)
# - 077: pliki - 640 (rw-------), katalogi - 750 (rwx------)

# Maksymalna liczba dni, przez które można używać hasła. Jeśli hasło jest starsze niż to, wymuszone zostanie jego zmienienie.
shadow_utils_pass_max_days: 366

# Minimalna liczba dni pomiędzy zmianami haseł. Każda próba zmiany hasła wcześniej niż to będzie odrzucona.
shadow_utils_pass_min_days: 1

# Liczba dni ostrzeżenia przed wygaśnięciem hasła.
shadow_utils_pass_warn_age: 31

# Zakres identyfikatorów użytkowników używanych do tworzenia zwykłych użytkowników
shadow_utils_uid_min: 1000
shadow_utils_uid_max: 60000

# Zakres identyfikatorów użytkowników używanych do tworzenia użytkowników systemowych
shadow_utils_sys_uid_min: 201
shadow_utils_sys_uid_max: 999

# Zakres identyfikatorów grup używanych do tworzenia zwykłych grup
shadow_utils_gid_min: 1000
shadow_utils_gid_max: 60000

# Zakres identyfikatorów grup używanych do tworzenia grup systemowych
shadow_utils_sys_gid_min: 201
shadow_utils_sys_gid_max: 999

# Maksymalna liczba prób logowania w przypadku błędnego hasła.
# To prawdopodobnie zostanie nadpisane przez PAM, ale może być bezpiecznym zapasowym rozwiązaniem.
shadow_utils_login_retries: 5

# Maksymalny czas w sekundach na logowanie.
shadow_utils_login_timeout: 60

# Określ, które elementy w gecos użytkownicy mogą zmieniać z chfn. 
# f - Pełne imię, r - Numer pokoju, w - Telefon do pracy, h - Telefon domowy
shadow_utils_chfn_restrict: 'rwh'

# Zezwól użytkownikom na logowanie, jeśli nie możemy przejść do katalogu domowego
shadow_utils_default_home: false

# Domyślnie twórz katalog domowy nowych użytkowników
shadow_utils_create_home: true

# Jeśli zdefiniowane, to polecenie jest uruchamiane podczas usuwania użytkownika
shadow_utils_userdel_cmd: null

# Twórz domyślną grupę dla nowych użytkowników o tej samej nazwie i usuń grupę użytkownika, jeśli jest pusta, gdy użytkownik zostanie usunięty. 
shadow_utils_usergroups_enab: true

# Domyślny algorytm szyfrowania do szyfrowania haseł
shadow_utils_encrypt_method: 'SHA512'

Zależności

Brak

Przykładowy skrypt

- hosts: servers
  tasks:
    - name: "Zaincluduj shadow_utils"
      include_role:
        name: "shadow_utils"

Licencja

LGPLv3

Informacje o autorze

• Robert Brightling | GitLab | GitHub