crypto_policies

крипто-политики

ansible-lint.yml ansible-test.yml markdownlint.yml tft.yml tft_citest_bad.yml woke.yml

Этот Ansible-ролик управляет крипто-политиками на уровне всей системы.

Эта концепция хорошо принята с Red Hat Enterprise Linux 8 и в Fedora.

Требования

Смотрите ниже

Требования к коллекциям

Если вы хотите управлять системами rpm-ostree с помощью этого ролика, вам потребуется установить дополнительные коллекции. Пожалуйста, выполните следующую команду, чтобы установить коллекцию.

ansible-galaxy collection install -vv -r meta/collection-requirements.yml

Переменные ролика

По умолчанию этот ролик просто сообщает статус системы, как описано в следующем разделе.

  • crypto_policies_policy

Используйте эту переменную, чтобы указать желаемую крипто-политику на целевой системе, которая может быть либо базовой политикой, либо базовой политикой с подполитиками, принятыми инструментом update-crypto-policies. Например, FUTURE или DEFAULT:NO-SHA1:GOST. Указанная базовая политика и подполитики должны быть доступны на целевой системе.

Значение по умолчанию - null, что означает, что конфигурация не изменяется, и ролик просто соберет факты ниже.

Список доступных базовых политик на целевой системе можно найти в переменной crypto_policies_available_policies, а список доступных подполитик можно найти в переменной crypto_policies_available_subpolicies.

  • crypto_policies_reload

По умолчанию (true), обновление крипто-политик приводит к перезагрузке некоторых демонов, затронутых крипто-политиками в системе. Установка false предотвращает это поведение и полезна, если ролик выполняется во время настройки системы или предполагаются другие последующие задачи.

  • crypto_policies_reboot_ok

Крипто-политики не могут знать о всех пользовательских приложениях, использующих крипто-библиотеки, которые подвержены изменениям крипто-политик, поэтому рекомендуется перезагрузить систему после изменения крипто-политик, чтобы все службы и приложения прочитали новые конфигурационные файлы. По умолчанию (false), если требуется перезагрузка, этот ролик установит переменную crypto_policies_reboot_required, как описано ниже, и пользователю ролика придется перезагрузить систему позже, например, после применения других изменений, которые могут потребовать перезагрузки. Если в плейбуке нет других задач, требующих перезагрузки, вы можете установить это значение на true, и ролик сам выполнит перезагрузку, если это будет необходимо.

  • crypto_policies_transactional_update_reboot_ok

Эта переменная используется для обработки перезагрузок, требуемых транзакционными обновлениями. Если транзакционное обновление требует перезагрузки, ролик продолжит с перезагрузкой, если crypto_policies_transactional_update_reboot_ok установлена в true. Если установлена в false, ролик уведомит пользователя о том, что требуется перезагрузка, предоставляя возможность для кастомной обработки необходимости перезагрузки. Если эта переменная не установлена, ролик будет не в состоянии гарантировать, что требование перезагрузки не будет упущено.

Переменные, экспортируемые роликом

  • crypto_policies_active

Этот факт содержит текущее активное название политики в формате, принимаемом переменной crypto_policies_policy выше.

  • crypto_policies_available_policies

Это список всех базовых политик, доступных на целевой системе. Пользовательские файлы политик можно установить, скопировав .pol файлы в директорию /etc/crypto-policies/policies (это еще не реализовано в этом ролике).

  • crypto_policies_available_subpolicies

Это список всех подполитик, доступных на целевой системе. Пользовательские подполитики можно установить, скопировав .pmod файлы в директорию /etc/crypto-policies/policies/modules (это еще не реализовано в этом ролике).

  • crypto_policies_available_modules

Устаревший псевдоним для crypto_policies_available_subpolicies.

  • crypto_policies_reboot_required

По умолчанию false - если true, это означает, что требуется перезагрузка для применения изменений, сделанных роликом.

Пример плейбука

Следующий плейбук настраивает систему на уровень крипто-политики по умолчанию без SHA1. Обновление производится без перезагрузки (что рекомендуется сделать пользователю позже).

- name: Управление крипто-политиками
  hosts: all
  roles:
    - role: linux-system-roles.crypto_policies
      vars:
        crypto_policies_policy: "DEFAULT:NO-SHA1"
        crypto_policies_reload: false

rpm-ostree

См. README-ostree.md

Лицензия

MIT, см. файл LICENSE для получения дополнительной информации.

Информация об авторе

Якуб Елен, 2020

Установить
ansible-galaxy install linux-system-roles/crypto_policies
Лицензия
mit
Загрузки
60541
Владелец