Shadow Utils

Управление настройками пакета shadow utils для управления пользователями и учетными записями групп на системах.

Попытались применять лучшие практики безопасности для настройки по умолчанию; однако, всегда стоит внимательно проверять, так как это не является гарантией.

Требования

Ansible 2.8+

Поддерживаемые операционные системы

• Debian 10
• CentOS 8

Переменные роли

# Опции конфигурации для useradd
# #######################

# Оболочка по умолчанию для новых пользователей, создаваемая с помощью useradd
shadow_utils_shell: "{{ shadow_utils__shell }}"

# GID пользователя (100=пользователи), используется, если не указаны другие группы.
shadow_utils_group: 100

# Количество дней после истечения срока действия пароля, пока учетная запись не будет окончательно отключена. -1 для отключения.
shadow_utils_inactive: 60

# Дата истечения срока действия по умолчанию
shadow_utils_expire: null

# Директория по умолчанию для домашних папок
shadow_utils_home: "/home"

# Структура, копируемая в домашнюю директорию нового пользователя.
shadow_utils_skel: "/etc/skel"

# Создавать почтовый ящик для новых пользователей по умолчанию
shadow_utils_create_mail_spool: false

# Опции конфигурации login.defs
# #########################

# Директория почтового ящика. Необходима для управления почтовым ящиком при модификации или удалении соответствующей учетной записи.
shadow_utils_mail_dir: "{{ shadow_utils__mail_dir }}"

# Определяет расположение файлов почтового ящика пользователей относительно их домашней директории
shadow_utils_mail_file: null

# Включить ведение журнала и отображение информации о неудачных входах в систему /var/log/faillog.
# Этот параметр конфликтует с модулем PAM pam_tally.
shadow_utils_faillog_enab: true

# Включить отображение неизвестных имен пользователей при записи неудачных попыток входа.
shadow_utils_log_unkfail_enab: true
 
# Включить ведение журнала успешных входов.
shadow_utils_log_ok_logins: false

# Включить ведение журнала действий su в "syslog" - кроме ведения журналов sulog.
shadow_utils_syslog_su_enab: true

# Включить ведение журнала действий sg в "syslog".
shadow_utils_syslog_sg_enab: true
 
# Если указано, вся активность su записывается в этот файл.
shadow_utils_sulog_file: '/var/log/su.log'

shadow_utils_ftmp_file: '/var/log/btmp'

# Если указано, файл, который связывает tty-строку с параметром окружения TERM
shadow_utils_ttytype_file: null

# Если указано, имя команды для отображения при выполнении "su -".
shadow_utils_su_name: 'su'

# Если указано, подавляет сообщения о входе. Если указан полный путь, то для имен пользователей в указанном файле подавление включается; в противном случае
# подавление включается, если файл существует в домашней директории пользователя.
shadow_utils_hushlogin_file: '.hushlogin'

# Устанавливает переменную PATH для суперпользователя при входе
shadow_utils_env_supath: 
    - '/usr/local/sbin'
    - '/usr/local/bin'
    - '/usr/sbin'
    - '/usr/bin'
    - '/sbin'
    - '/bin'

# Устанавливает переменную PATH для обычного пользователя при входе
shadow_utils_env_path: 
    - '/usr/local/bin'
    - '/usr/bin'
    - '/bin'
    - '/usr/local/games'
    - '/usr/games'

# Права доступа к терминалу.
shadow_utils_ttygroup: 'tty'
shadow_utils_ttyperm: '0600'

# Символ удаления в терминале (010 = backspace, 0177 = DEL)
shadow_utils_erasechar: '0177'

# Символ удаления в терминале (025 = CTRL/U)
shadow_utils_killchar: '025'

# Маска создания режимов файлов инициализируется этим значением.
shadow_utils_umask: '077'
# - 022: файлы - 640 (rw-rw----), директории - 750 (rwxrwx---)
# - 027: файлы - 640 (rw-r-----), директории - 750 (rwxr-x---)
# - 077: файлы - 640 (rw-------), директории - 750 (rwx------)

# Максимальное количество дней, в течение которых может использоваться пароль. Если пароль старше этого, будет принудительно требоваться его смена.
shadow_utils_pass_max_days: 366

# Минимальное количество дней, разрешенное между сменами пароля. Любые попытки смены пароля раньше этого будут отклонены.
shadow_utils_pass_min_days: 1

# Количество дней предупреждения перед истечением срока действия пароля.
shadow_utils_pass_warn_age: 31

# Диапазон идентификаторов пользователей для создания обычных пользователей
shadow_utils_uid_min: 1000
shadow_utils_uid_max: 60000

# Диапазон идентификаторов пользователей для создания системных пользователей
shadow_utils_sys_uid_min: 201
shadow_utils_sys_uid_max: 999

# Диапазон идентификаторов групп для создания обычных групп
shadow_utils_gid_min: 1000
shadow_utils_gid_max: 60000

# Диапазон идентификаторов групп для создания системных групп
shadow_utils_sys_gid_min: 201
shadow_utils_sys_gid_max: 999

# Максимальное количество попыток входа при неправильном пароле.
# Это, скорее всего, будет переопределено PAM, но может быть безопасным запасным вариантом.
shadow_utils_login_retries: 5

# Максимальное время в секундах для входа.
shadow_utils_login_timeout: 60

# Укажите поля gecos, которые пользователь может менять с помощью chfn. 
# f - Полное имя, r - Номер комнаты, w - Рабочий телефон, h - Домашний телефон
shadow_utils_chfn_restrict: 'rwh'

# Разрешить пользователям входить, если не удается перейти в домашнюю директорию
shadow_utils_default_home: false

# Создавать домашнюю директорию новых пользователей по умолчанию
shadow_utils_create_home: true

# Если указано, эта команда выполняется при удалении пользователя
shadow_utils_userdel_cmd: null

# Создать группу по умолчанию для новых пользователей с таким же именем и удалить группу пользователя, если она пуста при удалении пользователя. 
shadow_utils_usergroups_enab: true

# Алгоритм шифрования по умолчанию для шифрования паролей
shadow_utils_encrypt_method: 'SHA512'

Зависимости

Нет

Пример плейбука

- hosts: servers
  tasks:
    - name: "Подключить shadow_utils"
      include_role:
        name: "shadow_utils"

Лицензия

LGPLv3

Информация об авторе

• Роберт Брайтлинг | GitLab | GitHub