Ansible роль sshguard

Эта Ansible роль устанавливает и настраивает sshguard на системах, основанных на Debian и RHEL/CentOS.

Требования

Для систем на базе RHEL/CentOS эта роль зависит от geerlingguy.repo-epel, чтобы установить и настроить репозиторий EPEL (Дополнительные пакеты для корпоративного Linux).

Кроме этого, требуется только Ansible версии >= 2.2.

Протестировано на

• Debian 9 и 10
• Ubuntu 16.04 и 18.04
• RHEL/CentOS 7 и 9

Переменные роли

Следующие переменные роли имеют значение:

• sshguard_block_time: Блокировать злоумышленников на начальное время BLOCK_TIME секунд после превышения THRESHOLD. Последующие блокировки увеличиваются на коэффициент 1.5; по умолчанию 120.
• sshguard_detection_time: Запоминать потенциальных злоумышленников до DETECTION_TIME секунд перед сбросом их счета; по умолчанию 1800.
• sshguard_threshold: Блокировать злоумышленников, когда их накопленный атакующий счет превышает THRESHOLD. Большинство атак имеет счет 10; по умолчанию 30.
• sshguard_whitelist: Список записей в белом списке. IP-адреса, указанные в WHITELIST, считаются разрешенными и никогда не будут заблокированы.
  • comment: Комментарий / описание (опционально)
  • address: Один IPv4 и IPv6 адрес / блоки адресов в CIDR-нотации / имена хостов

Пример плейбука

---
- name: test-playbook | Тест роли sshguard
  hosts: all
  become: yes
  become_user: root
  vars:
    - sshguard_whitelist:
        - comment: IPv4 localhost
          address: 127.0.0.0/8
        - address: 127.0.0.1/32
        - comment: IPv6 localhost
          address: ::1
  roles:
    - nephosolutions.sshguard

Лицензия

Эта Ansible роль распространяется под лицензией Apache-2.0. См. файл LICENSE для получения дополнительных сведений.