加密策略

这个 Ansible 角色管理全系统的加密策略。

这个概念自 Red Hat Enterprise Linux 8 和 Fedora 开始被广泛采用。

要求

请见下文

集合要求

如果您想使用此角色管理 rpm-ostree 系统，您需要安装附加的集合。请运行以下命令安装集合。

ansible-galaxy collection install -vv -r meta/collection-requirements.yml

角色变量

默认情况下，此角色只会报告系统状态，如下节所述。

• crypto_policies_policy

使用此变量指定目标系统上的所需加密政策，可以是基本政策或带有子政策的基本政策，接受 update-crypto-policies 工具。例如 FUTURE 或 DEFAULT:NO-SHA1:GOST。指定的基本政策和子政策必须在目标系统上可用。

默认值为 null，表示配置不变，角色将只收集以下事实信息。

目标系统上可用的基本政策列表可以在 crypto_policies_available_policies 变量中找到，而可用的子政策列表则在 crypto_policies_available_subpolicies 变量中。

• crypto_policies_reload

默认情况下（true），更新加密策略会强制重新加载系统中受加密策略影响的某些守护进程。设置为 false 以防止此行为，如果角色是在系统注册期间执行的，或者预期会在稍后执行其他后续任务，这将非常有帮助。

• crypto_policies_reboot_ok

加密策略不能了解所有使用加密库的自定义应用程序，且这些应用程序会受加密策略更改的影响，因此建议在更改加密策略后重启，以确保所有服务和应用程序都能读取新的配置文件。默认情况下（false），如果需要重启，此角色将设置 crypto_policies_reboot_required 变量，如下所述，之后由角色的用户负责重启系统，例如在应用其他可能需要重启的更改后。如果在剧本中没有其他需要重启的任务，您可以将此值设置为 true，此角色将根据需要为您处理重启。

• crypto_policies_transactional_update_reboot_ok

此变量用于处理事务更新所需的重启。如果事务更新需要重启，角色将在 crypto_policies_transactional_update_reboot_ok 设置为 true 时继续重启。如果设置为 false，角色将通知用户需重启，允许自定义处理重启需求。如果此变量未设置，角色将失败以确保重启需求不被忽视。

角色导出的变量

• crypto_policies_active

此事实包含当前活动的政策名称，格式与上面的 crypto_policies_policy 变量接受的格式相同。

• crypto_policies_available_policies

这是目标系统上所有可用基本政策的列表。自定义政策文件可以通过将 .pol 文件复制到 /etc/crypto-policies/policies 目录来安装（此角色尚未实现）。

• crypto_policies_available_subpolicies

这是目标系统上所有可用子政策的列表。自定义子政策可以通过将 .pmod 文件复制到 /etc/crypto-policies/policies/modules 目录来安装（此角色尚未实现）。

• crypto_policies_available_modules

已弃用，指向 crypto_policies_available_subpolicies 的别名。

• crypto_policies_reboot_required

默认值为 false - 如果为 true，则表示需要重启以应用角色所做的更改。

示例剧本

以下剧本将系统配置为默认加密策略级别，不包括 SHA1。更新是在不重启的情况下进行的（建议用户随后执行重启）。

- name: 管理加密策略
  hosts: all
  roles:
    - role: linux-system-roles.crypto_policies
      vars:
        crypto_policies_policy: "DEFAULT:NO-SHA1"
        crypto_policies_reload: false

rpm-ostree

请参见 README-ostree.md

许可证

MIT，详细信息请见 LICENSE 文件。

作者信息

Jakub Jelen, 2020