csf-ansible-role

CSF Ansible Роль

Версия GitHub Статус сборки

Требования

Нет

Переменные Роли

Переменные задаются в два этапа:

  • csf_global_conf
    Переменные в этом объеме задаются на уровне группы и применяются ко всем серверам
  • csf_conf
    Переменные в этом объеме задаются индивидуально для каждого сервера
  • csf_allow_ip Значения в этом массиве будут добавлены в файл /etc/csf/csf.allow
  • csf_rules
    Правила, размещенные в этой переменной, копируются из role_dir/files/rules/common/{{ item.rule }}.allow
    TODO: Сделать это намного аккуратнее

Зависимости

Нет

Пример Плейбука

- hosts: firewalls
  roles:
     - { role: jloh.csf-ansible-role }

В group_vars/firewalls:

csf_global_conf:
  - name: CLUSTER_PORT
    config: "7786"
  - name: CLUSTER_KEY
    config: "случайный ключ кластера"
  - name: DENY_TEMP_IP_LIMIT
    config: "200"
  - name: LF_CONSOLE_EMAIL_ALERT
    config: "1"
  - name: LF_GLOBAL
    config: "3600"
  - name: GLOBAL_DYNDNS_INTERVAL
    config: "600"
  - name: URLGET
    config: "2"

csf_allow:
 - 12.12.12.12	# IP офиса
 - 138.44.33.22	# мониторинг
 - 198.33.22.11
 - 45.22.11.22
 
csf_ignore:
 - 12.12.12.12	# IP офиса
 - 138.44.33.22	# мониторинг
 - 198.33.22.11
 - 45.22.11.22

csf_blocklists:
  - SPAMEDROP
  - DSHIELD
  - TOR
  - ALTTOR
  - BOGON
  - HONEYPOT
  - CIARMY
  - BFB
  - OPENBL
  - AUTOSHUN
  - MAXMIND
  - BDE
  - STOPFORUMSPAM

В host_vars/firewall-01:

csf_conf:
  - name: CLUSTER_RECVFROM
    config: "162.243.144.14,103.4.18.200,80.69.77.247"
  - name: CLUSTER_SENDTO
    config: "162.243.144.14,103.4.18.200,80.69.77.247"
  - name: TCP_IN
    config: "80,443"
  - name: TCP_OUT
    config: "25,53,80,443"
  - name: UDP_IN
    config: ""
  - name: UDP_OUT
    config: "25,123"
  - name: TCP6_IN
    config: "80,443"
  - name: TCP6_OUT
    config: "25,53,80,443"
  - name: UDP6_IN
    config: ""
  - name: UDP6_OUT
    config: "25,123"

 csf_rules:
  - rule: nagios
  - rule: munin

Лицензия

MIT

Участники

Много! Пожалуйста, посмотрите график участников!

Информация об Авторе

Для других ролей и общей технической информации, не стесняйтесь посетить мой блог.

О проекте

Install and configure Config Server Firewall (CSF) from scratch

Установить
ansible-galaxy install jloh/csf-ansible-role
Лицензия
mit
Загрузки
149
Владелец
Engineer at @TryGhost