[ English | Indonesia | русский ]
Применение ansible-hardening¶
Роль ansible-hardening применима к физическим хостам любого типа внутри развертывания OpenStack-Ansible - как инфраструктурного, так и вычислительного. По умолчанию роль включена. Вы можете выключить ее установив значение переменной apply_security_hardening в файле user_variables.yml в false:
apply_security_hardening: false
Вы можете применить настройки усиления безопасности к существующему окружению или провести аудит окружения при помощи предоставляемого OpenStack-Ansible-ом плейбука:
# Apply security hardening configurations
openstack-ansible openstack.osa.security_hardening
# Perform a quick audit by using Ansible's check mode
openstack-ansible --check openstack.osa.security_hardening
Дополнительную информацию о конфигурациях безопасности см. в документации Роль усиления безопасности.
Усиление безопасности хоста развертывания¶
Вы можете усилить безопасность хоста развертывания, определив переменную security_host_group в файле openstack_user_variables. Добавьте localhost вместе с другими хостами, например:
security_host_group: localhost, hosts
Затем примените усиление с помощью:
openstack-ansible openstack.osa.security_hardening
Или же вы также можете предоставить эту переменную как дополнительную переменную во время выполнения, например:
openstack-ansible openstack.osa.security_hardening -e security_host_group=localhost
Предупреждение
После применения мер безопасности вход в систему root по паролю будет отключен. Перед применением изменений обязательно настройте аутентификацию по ключу SSH или создайте пользователя без прав root с привилегиями sudo, иначе вы можете потерять доступ к хосту.
Усиление безопасности хоста развертывания может быть полезным для уменьшения поверхности атаки и гарантии того, что хост, на котором работает OpenStack-Ansible, следует тем же лучшим практикам безопасности, что и другие ваши узлы.
Скрытие секретных данных в OpenStack-Ansible¶
Роли OpenStack-Ansible используют такие переменные, как _oslodb_setup_nolog, _service_setup_nolog и _oslomsg_nolog, для управления скрытием вывода задач в журналах.
По умолчанию, это предотвращает запись конфиденциальных данных (например, паролей) в файлы журналов. Отключение этих переменных может упростить отладку, но также повышает риск раскрытия секретной информации в виде открытого текста.
Предупреждение
Используйте их с осторожностью: оставляйте ведение журнала включенным для устранения неполадок, но помните, что пароли могут появиться в журналах, если защита отключена.
