ansible_ssh_hardening
ansible-ssh-hardening
Эта роль выполняет основные задачи по жесткой настройке SSH, включая:
- Изменение порта SSH
- Отключение аутентификации по паролю SSH
- Настройка параметров SELinux
- Разрешение нового порта SSH в firewalld
- Установка и настройка fail2ban для SSH
Получить эту роль
ansible-galaxy install --roles-path ./roles/ siw36.ansible_ssh_hardening
Требования
- Операционная система на базе RHEL (RHEL/CentOS/Fedora)
- Python 3 в качестве интерпретатора по умолчанию
- Пользователь, используемый на удаленном хосте, должен иметь разрешение запускать команды
sudoбез запроса пароля.
Переменные роли
| Название | Описание | Значение по умолчанию |
|---|---|---|
| sshPort | Новый порт SSH | 1337 |
| f2bEnabled | Включить fail2ban для SSH | true |
| f2bRetries | Количество допустимых неудачных входов перед блокировкой | 5 |
| f2bBanTime | Время блокировки в секундах | 3600 |
| f2bIgnoreIP | Список игнорируемых IP-адресов/подсетей | 127.0.0.1/32 |
| vmAdmins | Список учетных записей пользователей и открытых SSH-ключей, которым должен быть предоставлен доступ к машине | <нет - по желанию> |
| allowedInterfaces | Список сетевых интерфейсов, на которых должен быть доступен сервис SSHD | <нет - по желанию> |
Пример playbook
playbook.yml
- hosts: servers
become: true
roles:
- siw36.ansible_ssh_hardening
vars/main.yml
vmAdmins:
- user: siw36
sshKey: ssh-rsa xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx siw36
allowedInterfaces:
- eth0
Лицензия
GNU General Public License v3.0
Информация об авторе
Создано Робином "siw36" Клуссманом (07/2019)
Установить
ansible-galaxy install siw36/ansible-ssh-hardeningЛицензия
Unknown
Загрузки
149
Владелец
Platform & DevOps Engineer