基于ansible的生产环境部署构建(七) 角色security_reinforce

最新推荐文章于 2024-07-07 10:06:59 发布
最新推荐文章于 2024-07-07 10:06:59 发布
阅读量394 收藏
点赞数
分类专栏: Ansible
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zwjzqqb/article/details/106851728
版权

角色功能说明:

  • 该角色实现对客户端主机的安全加固和规避以及回滚功能

角色部署:

  • 创建目录结构,创建软连接,关联默认变量文件
WorkDir=~/devops/ansible/os_init && cd ${WorkDir}
RoleName=security_reinforce
mkdir -pv roles/${RoleName}/{defaults,files,handlers,meta,tasks,templates,vars}
ln -s ${WorkDir}/defaults_var.yml roles/${RoleName}/defaults/main.yml
  • 配置系统密码加固模版文件
cat >roles/${RoleName}/templates/login.defs_centos6.j2<<EOF
MAIL_DIR        /var/spool/mail
PASS_MAX_DAYS   90
PASS_MIN_DAYS   7
PASS_MIN_LEN    8
PASS_WARN_AGE   30
UID_MIN                   500
UID_MAX                 60000
GID_MIN                   500
GID_MAX                 60000
CREATE_HOME     yes
UMASK           077
USERGROUPS_ENAB yes
ENCRYPT_METHOD SHA512
EOF

cat >roles/${RoleName}/templates/login.defs_centos7.j2<<EOF
MAIL_DIR        /var/spool/mail
PASS_MAX_DAYS   90
PASS_MIN_DAYS   7
PASS_MIN_LEN    8
PASS_WARN_AGE   30
UID_MIN                  1000
UID_MAX                 60000
SYS_UID_MIN               201
SYS_UID_MAX               999
GID_MIN                  1000
GID_MAX                 60000
SYS_GID_MIN               201
SYS_GID_MAX               999
CREATE_HOME     yes
UMASK           077
USERGROUPS_ENAB yes
ENCRYPT_METHOD SHA512
EOF
  • 配置系统密码pam加固模版文件
cat >roles/${RoleName}/templates/system-auth-ac_centos6.j2<<EOF
auth        required      pam_env.so
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 500 quiet
auth        required      pam_deny.so
account     required      pam_unix.so
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 500 quiet
account     required      pam_permit.so
password    requisite     pam_cracklib.so minlen=8 dcredit=-1 ucredit=-1 ocredit=-1 lcredit=-1 enforce_for_root try_first_pass retry=3 type=
password    required      pam_pwhistory.so use_authtok remember=3 enforce_for_root
password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok
password    required      pam_deny.so
session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so
EOF

cat >roles/${RoleName}/templates/system-auth-ac_centos7.j2<<EOF
auth        required      pam_env.so
auth        required      pam_faildelay.so delay=2000000
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 1000 quiet_success
auth        required      pam_deny.so
account     required      pam_unix.so
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 1000 quiet
account     required      pam_permit.so
password    requisite     pam_pwquality.so minlen=8 dcredit=-1 ucredit=-1 ocredit=-1 lcredit=-1 enforce_for_root try_first_pass local_users_only retry=3 authtok_type=
password    required      pam_pwhistory.so use_authtok remember=3 enforce_for_root
password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok
password    required      pam_deny.so
session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
-session     optional      pam_systemd.so
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so
EOF
  • 配置sshd pam加固模版文件
cat >roles/${RoleName}/templates/sshd_centos6.j2<<EOF
auth       required     pam_tally2.so even_deny_root deny=4 unlock_time=120 root_unlock_time=600
auth       required     pam_sepermit.so
auth       include      password-auth
account    required     pam_nologin.so
account    include      password-auth
password   include      password-auth
session    required     pam_selinux.so close
session    required     pam_loginuid.so
session    required     pam_selinux.so open env_params
session    required     pam_namespace.so
session    optional     pam_keyinit.so force revoke
session    include      password-auth
EOF

cat >roles/${RoleName}/templates/sshd_centos7.j2<<EOF
auth       required     pam_tally2.so even_deny_root deny=4 unlock_time=120 root_unlock_time=600
auth       required     pam_sepermit.so
auth       substack     password-auth
auth       include      postlogin
-auth      optional     pam_reauthorize.so prepare
account    required     pam_nologin.so
account    include      password-auth
password   include      password-auth
session    required     pam_selinux.so close
session    required     pam_loginuid.so
session    required     pam_selinux.so open env_params
session    required     pam_namespace.so
session    optional     pam_keyinit.so force revoke
session    include      password-auth
session    include      postlogin
-session   optional     pam_reauthorize.so prepare
EOF
  • 配置su pam加固模版文件
cat >roles/${RoleName}/templates/su_centos6.j2<<EOF
auth            sufficient      pam_rootok.so
auth            required        pam_wheel.so use_uid
auth            include         system-auth
account         sufficient      pam_succeed_if.so uid = 0 use_uid quiet
account         include         system-auth
password        include         system-auth
session         include         system-auth
session         optional        pam_xauth.so
EOF

cat >roles/${RoleName}/templates/su_centos7.j2<<EOF
auth            sufficient      pam_rootok.so
auth            required        pam_wheel.so use_uid
auth            substack        system-auth
auth            include         postlogin
account         sufficient      pam_succeed_if.so uid = 0 use_uid quiet
account         include         system-auth
password        include         system-auth
session         include         system-auth
session         include         postlogin
session         optional        pam_xauth.so
EOF
  • 创建系统密码规避策略脚本
cat >roles/${RoleName}/files/userPass.sh<<EOF
#!/bin/bash
source ~/.bash_profile
ChangeDateStr=\$(date +%F)
ExpireDateStr=\$(date -d'90 days' +%F)
for user in \$(grep bash /etc/passwd|awk -F':' '{print \$1}')
do chage -d \${ChangeDateStr} -E \${ExpireDateStr} \${user};done
EOF
  • 创建角色任务
cat >roles/${RoleName}/tasks/main.yml<<\EOF
---
- name: "系统用户密码加固"
  template:
    src: login.defs_centos{{ ansible_distribution_major_version }}.j2
    dest: /etc/login.defs
    backup: yes
    force: yes
    owner: root
    group: root
    mode: 0644
- name: "已存在系统用户密码加固"
  shell:
    "for user in $(grep bash /etc/passwd|awk -F':' '{print $1}'); \
    do chage -m 7 -M 90 -W 30 -d $(date +%F) -E $(date -d'90 days' +%F) ${user};done"
- name: "分发系统用户密码加固脚本"
  copy:
    src: userPass.sh
    dest: /root/checkOS
    owner: root
    group: root
    mode: 0644
- name: "部署系统用户密码加固规避任务"
  cron:
    name: "userPass"
    job: "/bin/bash /root/checkOS/userPass.sh"
    minute: "0"
- name: "系统用户密码pam加固"
  template:
    src: system-auth-ac_centos{{ ansible_distribution_major_version }}.j2
    dest: /etc/pam.d/system-auth-ac
    backup: yes
    force: yes
    owner: root
    group: root
    mode: 0644
- name: "sshd 防暴力破解pam加固"
  template:
    src: sshd_centos{{ ansible_distribution_major_version }}.j2
    dest: /etc/pam.d/sshd
    backup: yes
    force: yes
    owner: root
    group: root
    mode: 0644
- name: "创建sudoler用户"
  user:
    name: sudoler
    createhome: yes
    groups: wheel
- name: "分发ssh公钥到sudoler用户"
  authorized_key:
      user: sudoler
      key: "{{ lookup('file', '~/.ssh/id_rsa.pub') }}"
      state: present
- name: "限制su pam加固"
  template:
    src: su_centos{{ ansible_distribution_major_version }}.j2
    dest: /etc/pam.d/su
    backup: yes
    force: yes
    owner: root
    group: root
    mode: 0644
- name: "限制root ssh登陆"
  lineinfile:
    path: /etc/ssh/sshd_config
    regexp: "^PermitRootLogin"
    line: "PermitRootLogin no"
- name: "关闭最后一次ssh登陆信息打印"
  lineinfile:
    path: /etc/ssh/sshd_config
    regexp: "^PrintLastLog"
    line: "PrintLastLog no"
- name: "打开ssh登陆后的公告信息"
  lineinfile:
    path: /etc/ssh/sshd_config
    regexp: "^PrintMotd"
    line: "PrintMotd yes"
- name: "配置公告信息内容"
  copy:
    dest: /etc/motd
    content: "##################################################\n\
#\t{{ target_hostname_prefix }}-{{ ansible_ssh_host }} 登陆成功\n\
##################################################\n"
- name: "重启sshd服务生效加固项"
  service:
    name: sshd
    state: restarted
- name: "会话超时自动退出"
  lineinfile:
    path: /etc/profile
    line: "export TMOUT=180"
- name: "关闭命令历史记录"
  lineinfile:
    path: /etc/profile
    regexp: "^HISTSIZE"
    line: "HISTSIZE=0"
- name: "不回应ping命令"
  lineinfile:
    path: /etc/sysctl.conf
    regexp: "^net.ipv4.icmp_echo_ignore_all"
    line: "net.ipv4.icmp_echo_ignore_all = 1"
- name: "执行命令使配置生效"
  shell:
    "source /etc/profile && sysctl -p"
EOF
  • 创建任务playbook并执行
cat >os-init-6.1-${RoleName}-root-setupAll.yml<<EOF
---
- hosts: all
  remote_user: root
  gather_facts: true
  become: no
  roles:
    - ${RoleName}
EOF
ansible-playbook -i inventory/hosts os-init-6.1-${RoleName}-root-setupAll.yml

重要功能补充:

  • 加固项中最为关键的是root ssh远程登陆限制,该项加固回滚策略为:
ansible all -i inventory/hosts -u sudoler -b --become-method=su --become-user=root \
  -m lineinfile -a "path=/etc/ssh/sshd_config regexp='^PermitRootLogin' line='PermitRootLogin yes'" -K
ansible all -i inventory/hosts -u sudoler -b --become-method=su --become-user=root \
  -m service -a "name=sshd state=restarted" -K

  • 注意:安全加固后,sudoler用户只能通过ssh免密登陆,无法通过密码登陆

  • 技巧:可以使用-e传入密码来代替-K操作实现非交互

ansible all -i inventory/hosts -u sudoler -b --become-method=su --become-user=root -e 'ansible_become_pass'="vincent" \
  -m lineinfile -a "path=/etc/ssh/sshd_config regexp='^PermitRootLogin' line='PermitRootLogin yes'"
ansible all -i inventory/hosts -u sudoler -b --become-method=su --become-user=root -e 'ansible_become_pass'="vincent" \
  -m service -a "name=sshd state=restarted"
  • 执行过安全加固后,root用户ssh登陆被限制,需要修改os-init.yml后才能再次执行
  • 如果是第一次执行,则不能使用sudoler作为执行用户,因为安全加固之前没有该用户
cat >os-init-6.2-${RoleName}-sudoler-resetupAll.yml<<EOF
---
- hosts: all
  remote_user: sudoler
  gather_facts: true
  become: yes
  become_user: root
  become_method: su
  roles:
    - ${RoleName}
EOF
ansible-playbook -i inventory/hosts os-init-6.2-${RoleName}-sudoler-resetupAll.yml
  • 以playbook的方式回滚掉root远程登陆限制:
cat >os-init-6.3-${RoleName}-sudoler-rollbackRootssh.yml<<EOF
---
- hosts: all
  remote_user: sudoler
  gather_facts: false
  become: yes
  become_user: root
  become_method: su
  tasks:
  - name: "剔除sshd配置"
    lineinfile:
      path: /etc/ssh/sshd_config
      regexp: '^PermitRootLogin'
      line: 'PermitRootLogin yes'
  - name: "重启sshd服务"
    service:
      name: sshd
      state: restarted
EOF
ansible-playbook -i inventory/hosts -e 'ansible_become_pass'="vincent" os-init-6.3-${RoleName}-sudoler-rollbackRootssh.yml
  • 重新设置root远程登陆限制:
cat >os-init-6.4-${RoleName}-sudoler-resetupRootssh.yml<<EOF
---
- hosts: all
  remote_user: sudoler
  gather_facts: false
  become: yes
  become_user: root
  become_method: su
  tasks:
  - name: "添加sshd配置"
    lineinfile:
      path: /etc/ssh/sshd_config
      regexp: '^PermitRootLogin'
      line: 'PermitRootLogin no'
  - name: "重启sshd服务"
    service:
      name: sshd
      state: restarted
EOF
ansible-playbook -i inventory/hosts -e 'ansible_become_pass'="vincent" os-init-6.4-${RoleName}-sudoler-resetupRootssh.yml

TOC

VincentQB
关注
专栏目录
ansible备份mysql_ansible做mysql备份和安全加固
weixin_36058303的博客
01-20 346
2019独角兽企业重金招聘Python工程师标准>>> 1. mysql备份A patch adding name=all was added to the mysql_db module on May 12, 2015, so the recommended way to dump all databases is:# Dumps all databases to hostna...
linux禁止root用户su,Linux 禁止普通用户su到root
weixin_32066337的博客
05-08 974
Linux账户权限管理上为了防止普通用户通过su切换到root用户,需要修改/etc/pam.d/su和/etc/login.defs两个配置文件。Step1:修改 /etc/pam.d/su文件[root@ess ~]# vi /etc/pam.d/su#%PAM-1.0auth sufficient pam_rootok.so# Uncomment the fo...
Ansible安全机制(Anisble Vault-Keeping secrets secret )
Ian_安安
08-01 701
It’s better to treat passwords and sensitive data specially, and there are two primary ways to do this: 1. Use a separate secret management service,such as Vault⁶⁵by HashiCorp,Keywhiz⁶⁶by Square,or a...
使用ansible对虚拟机进行安全设置
无约而来
02-20 485
使用ansible对虚拟机进行安全设置iptables设置修改防火墙配置文件修改 ssh 端口,查看结果,重启服务ansible 配置批量分发秘钥修改 hosts 文件 iptables设置 设置方法参考前边的文章 修改防火墙配置文件 将配置好的防火墙文件通过ansible部署到需要设置的虚拟机 [root@ansible ~]# ansible aliyun -m copy -a "src=/c...
Ansible2 安全自动化指南(二)
龙哥盟
07-07 963
Elastic Stack 是 Elastic 公司推出的一组开源产品。它可以从任何类型的来源和任何格式的数据中提取数据,并实时搜索、分析和可视化该数据。它由四个主要组件组成,如下:LogstashKibana节拍Elastic Stack 架构概述(图片来源:https://www.elastic.co/blog/beats-1-0-0)它帮助用户/管理员以(接近)实时的方式收集、分析和可视化数据。每个模块根据您的用例和环境进行调整。这是很多信息需要消化的。此外,我们对场景做出了很多假设。
Elastic:如何使用 Ansible自动化部署 Elastic Stack -Security(四)
Elastic 中国社区官方博客
01-27 1305
在之前我的系列文章: 如何使用 Ansible自动化部署 Elastic Stack - Overview(一) 如何使用 Ansible自动化部署 Elastic Stack - Elasticsearch (二) 如何使用 Ansible自动化部署 Elastic Stack - Kibana(三) 我们已经学习了如何使用 Ansible部署我们的 Elasticsearch 以及 Kibana。在进行下面的练习之前,我希望你先做完上面的三个练习。在实际的生产环境中,我
基于Ansible的ELK集群生产环境部署设计源码
最新发布
10-03
该项目是一款基于Ansible的ELK集群生产环境部署设计源码,总计包含461个文件,涵盖130个YAML配置文件、91个Markdown文档、54个Jinja模板文件、31个HTML文件、18个PNG图像文件、16个CSS样式文件、15个JavaScript脚本...
setup_cdh_cluster:基于ansible自动化构建,自动化部署CDH配置
02-05
本项目"setup_cdh_cluster"正是基于Ansible自动化构建部署CDH集群,为大数据环境的搭建提供了便利。 Ansible是一款强大的IT自动化工具,具有易用性、无代理、幂等性等优点。通过编写YAML格式的playbook,可以实现...
ansible-role-vmware_ubuntu_cloud_image:在vSphere环境中基于Ubuntu Cloud Image创建虚拟机的Ansible角色
02-05
本篇文章将深入探讨如何利用Ansible的`ansible-role-vmware_ubuntu_cloud_image`角色,在vSphere环境下基于Ubuntu Cloud Image快速创建虚拟机。 首先,理解`ansible-role-vmware_ubuntu_cloud_image`这个角色的含义...
基于Ansible的自动化部署跳板机Jumpserver设计源码
10-03
本项目为基于Ansible的自动化部署软堡垒机Jumpserver的设计源码,包含328个文件,涵盖75个Markdown文档、64个YAML配置文件、29个HTML文件、26个Jinja2模板文件、17个PNG图片文件、16个CSS样式表文件、15个JavaScript...
ansible-role-netbox:用于在生产环境部署DCIMIPAM工具NetBox的跨平台Ansible角色
01-31
描述中的内容与标题相同,再次强调了这个Ansible角色是为生产环境设计的,用于部署NetBox,且具备跨平台的特性。这意味着无论你的基础设施基于哪种操作系统,如Linux、Windows或Unix变种,都能借助这个角色顺利安装...
Ansible部署配置
涩。
04-02 721
Ansible的安装配置
linux PAM模块简介
u010230019的博客
04-14 2402
pam
Linux笔记 No.22---(Linux - PAM)
weixin_45880055的博客
11-11 2111
在Linux中执行有些程序时,这些程序在执行前首先要对启动它的用户进行认证,符合一定的要求之后才允许执行,例如login, su等。在Linux中进行身份或是状态的验证程序是由PAM来进行的,PAM(Pluggable Authentication Modules)可动态加载验证模块,因为可以按需要动态的对验证的内容进行变更,所以可以大大提高验证的灵活性。 可插拔身份认证模块(Pluggable Authentication Module,PAM)是一套共享库,使本地系统管理员可以灵活选择程序的认证方式。主
linux pam使用手册,Linux-PAM 1.1.2 中文文档 - 6.34. pam_time-时间控制的访问 | Docs4dev
weixin_34231219的博客
05-14 576
pam_time.so [conffile = conf-file] [调试] [noaudit]6.34.1. DESCRIPTIONpam_time PAM 模块不对用户进行身份验证,而是限制在一天中的不同时间,特定日期或通过各种终端线路访问系统和/或特定应用程序。可以将该模块配置为根据用户的姓名,一天中的时间,一周中的一天,所申请的服务以及从其发出请求的终端来拒绝对(个人)用户的访问。默认情...
ansible模块示例
weixin_39934651的博客
04-15 974
# blockinfile - name: Config HOSTS FILE blockinfile: path: /etc/hosts block: "{% for item in groups.tt %} {{item}} {{ hostvars[item]['hostname'] }} {% endfor %}" # yum - name: Install packages yum: name: ['gcc*', 'make', 'perl'.
模块pam_time.so
qq_33505270的博客
04-08 577
转自https://blog.51cto.com/spazzzz/677799 在linux中执行有些程序时,这些程序在执行前首先要对启动它的用户进行认证,符合一定的要求之后才允许执行,例如login, su等 在linux中进行身份或是状态的验证程序是由PAM来进行的,PAM(Pluggable Authentication Modules)可动态加载验证模块,因为可以按需要动态的对验证的内容进行变更,所以可以大大提高验证的灵活性。 linux各个发行版中,PAM使用的验证模块一般存放在/lib/s
ansible使用
热门推荐
B624023251的专栏
06-02 1万+
关闭selinux ssh-keygen -t dsa -P '' -f ~/.ssh/id_dsa ssh-copy-id -i id_dsa.pub root@node3 一、Hosts and Groups(主机与组) 对于/etc/ansible/hosts最简单的定义格式像下面: 1、简单的主机和组     mail.yanruogu.com     [webser
基于ansible生产环境部署构建(十三) 角色savehost
VincentQB的博客
06-19 195
角色功能说明: 该角色实现将部署生产环境主机信息保存到git仓库中 角色部署: 创建目录结构,创建软连接,关联默认变量文件 WorkDir=~/devops/ansible/os_init && cd ${WorkDir} RoleName=savehost mkdir -pv roles/${RoleName}/{defaults,files,handlers,meta,tasks,templates,vars} ln -s ${WorkDir}/defaults_var.yml
离线部署Openstack多节点:Kolla-Ansible与VMware环境构建详解
本文主要介绍了在离线环境下,利用Kolla-Ansible项目在VMware虚拟机中部署OpenStack Pike版本的多节点(Multinodes)架构。文章详细描述了部署结构的设计、网络配置、系统基础环境的准备、Docker的安装和配置,以及...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值