security

Ansible Роль: Безопасность

Важные изменения: Начиная с версии 0.7, роль больше не поддерживает параметры security_enforce_strong_passwords, security_log_after_failed_logins и security_nproc_limit. Неправильная конфигурация PAM может заблокировать доступ к системе, поэтому мне нужно найти лучший способ реализации этих функций.

Помните, безопасность ВАШЕГО ПК/сервера - это ВАША ответственность. Это очень базовый шаблон, и его следует использовать как шаблон, а не как полное решение.

Эта роль выполняет некоторые основные настройки безопасности на Linux системах на базе RedHat/Debian/Archlinux, такие как:

  • Установка и настройка fail2ban для мониторинга неудачных входов по SSH.
  • Основные меры по усилению безопасности SSH, такие как:
    • Отключение входа под пользователем root.
    • Отключение аутентификации по паролю.
    • Включение аутентификации по ключам.
    • Изменение порта по умолчанию.
    • Отключение известных слабых алгоритмов.
  • Настройка автоматических обновлений.
  • Основное укрепление ядра.
  • Основное усиление стека TCP/IP.
  • Удаление выбранных пакетов.
  • Отключение дампов памяти с помощью limits.

Требования

  • После выполнения этой роли доступ по SSH будет возможен только с использованием публичных ключей, поэтому ваши SSH ключи должны быть заранее скопированы на удаленный хост. Смотрите эту статью ArchWiki о том, как легко скопировать ваши SSH ключи на удаленный хост.
  • Базовое понимание того, что делает каждая настройка.

Переменные роли

Зависимости

Нет.

Пример плейбука

Всегда приятно иметь пример того, как использовать вашу роль (например, с переданными переменными в качестве параметров):

- hosts: server
  vars_files:
    - vars/main.yml

  roles:
    - { role: chzerv.security }

Файл vars/main.yml:

security_kern_go_hardcore: true
security_net_go_hardcore: true
security_autoupdates_enabled: true
security_autoupdates_type: "security"
security_fail2ban_enabled: true
security_fail2ban_harden_service: true

Лицензия

MIT / BSD

О проекте

Configure a Linux box to be more secure.

Установить
ansible-galaxy install chzerv/ansible-role-security
Лицензия
mit
Загрузки
158
Владелец
Open Source and Linux enthusiast, with a passion for automation and infrastructure.