security
Ansible Роль: Безопасность
Важные изменения: Начиная с версии 0.7, роль больше не поддерживает параметры
security_enforce_strong_passwords
,security_log_after_failed_logins
иsecurity_nproc_limit
. Неправильная конфигурация PAM может заблокировать доступ к системе, поэтому мне нужно найти лучший способ реализации этих функций.
Помните, безопасность ВАШЕГО ПК/сервера - это ВАША ответственность. Это очень базовый шаблон, и его следует использовать как шаблон, а не как полное решение.
Эта роль выполняет некоторые основные настройки безопасности на Linux системах на базе RedHat/Debian/Archlinux, такие как:
- Установка и настройка fail2ban для мониторинга неудачных входов по SSH.
- Основные меры по усилению безопасности SSH, такие как:
- Отключение входа под пользователем root.
- Отключение аутентификации по паролю.
- Включение аутентификации по ключам.
- Изменение порта по умолчанию.
- Отключение известных слабых алгоритмов.
- Настройка автоматических обновлений.
- Основное укрепление ядра.
- Основное усиление стека TCP/IP.
- Удаление выбранных пакетов.
- Отключение дампов памяти с помощью
limits
.
Требования
- После выполнения этой роли доступ по SSH будет возможен только с использованием публичных ключей, поэтому ваши SSH ключи должны быть заранее скопированы на удаленный хост. Смотрите эту статью ArchWiki о том, как легко скопировать ваши SSH ключи на удаленный хост.
- Базовое понимание того, что делает каждая настройка.
Переменные роли
Зависимости
Нет.
Пример плейбука
Всегда приятно иметь пример того, как использовать вашу роль (например, с переданными переменными в качестве параметров):
- hosts: server
vars_files:
- vars/main.yml
roles:
- { role: chzerv.security }
Файл vars/main.yml
:
security_kern_go_hardcore: true
security_net_go_hardcore: true
security_autoupdates_enabled: true
security_autoupdates_type: "security"
security_fail2ban_enabled: true
security_fail2ban_harden_service: true
Лицензия
MIT / BSD
О проекте
Configure a Linux box to be more secure.
Установить
ansible-galaxy install chzerv/ansible-role-security
Лицензия
mit
Загрузки
158
Владелец
Open Source and Linux enthusiast, with a passion for automation and infrastructure.