siw36.ansible_ssh_hardening
ansible-ssh-hardening
Ta rola wykonuje podstawowe zadania związane z zabezpieczeniem SSH, w tym:
- Zmiana portu SSH
- Wyłączenie uwierzytelniania za pomocą hasła SSH
- Ustawienie ustawień SELinux
- Zezwolenie na nowy port SSH w firewalld
- Instalacja i konfiguracja fail2ban dla SSH
Jak zdobyć tę rolę
ansible-galaxy install --roles-path ./roles/ siw36.ansible_ssh_hardening
Wymagania
- System operacyjny oparty na RHEL (RHEL/CentOS/Fedora)
- Python 3 jako domyślny interpreter Pythona
- Użytkownik używany na zdalnym hoście musi mieć uprawnienia do wykonywania poleceń
sudobez żądania potwierdzenia hasła.
Zmienne roli
| Nazwa | Opis | Wartość domyślna |
|---|---|---|
| sshPort | Nowy port SSH | 1337 |
| f2bEnabled | Włącz fail2ban dla SSH | true |
| f2bRetries | Ilość dozwolonych nieudanych logowań przed zablokowaniem | 5 |
| f2bBanTime | Czas blokady w sekundach | 3600 |
| f2bIgnoreIP | Lista zignorowanych adresów IP/Sieci | 127.0.0.1/32 |
| vmAdmins | Lista kont użytkowników i publicznych kluczy SSH, które powinny mieć dostęp do maszyny | <brak - opcjonalne> |
| allowedInterfaces | Lista interfejsów sieciowych, na których usługa SSHD powinna być dostępna | <brak - opcjonalne> |
Przykładowy Playbook
playbook.yml
- hosts: servers
become: true
roles:
- siw36.ansible_ssh_hardening
vars/main.yml
vmAdmins:
- user: siw36
sshKey: ssh-rsa xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx siw36
allowedInterfaces:
- eth0
Licencja
GNU General Public License v3.0
Informacje o autorze
Stworzono przez Robina 'siw36' Klussmanna (07/2019)
Zainstaluj
ansible-galaxy install siw36.ansible_ssh_hardeningLicencja
Unknown
Pobrania
158
Właściciel
Platform & DevOps Engineer