Ansible 铸就 Linux 安全之盾（Ansible Builds Linux Security Shield）

Ansible 铸就 Linux 安全之盾：自动化基线检查与防护

在当今网络安全形势日益严峻的背景下，Linux 系统作为服务器和关键基础设施的核心，其安全防护显得尤为重要。Ansible 作为一款强大的自动化运维工具，能够帮助我们高效、可靠地实现 Linux 安全基线检查和加固，为系统筑起一道坚实的安全屏障。

核心安全配置自动化实践

本文将深入探讨如何利用 Ansible 自动化实现以下 Linux 关键安全配置：

1. 用户和权限管理

• 密码策略强化：通过 lineinfile 模块修改配置文件，强制实施密码复杂度、长度、过期时间等安全策略，有效抵御弱密码攻击。

• 禁用 root 远程登录：修改 SSH 配置文件 (/etc/ssh/sshd_config)，禁止 root 用户直接远程登录，降低系统风险。

• 限制 sudo 权限：使用 lineinfile 或 authorized_key 模块，精确控制 sudo 权限，仅授权给特定用户或组，防止权限滥用。

• 审计用户登录事件：安装 auditd 并启用审计服务，记录用户登录和注销行为，便于安全事件追踪和分析。

name: 确保密码最小长度为 12lineinfile:path: /etc/security/pwquality.confregexp: '^minlen'line: 'minlen = 12'
name: 禁用 root 远程登录lineinfile:path: /etc/ssh/sshd_configregexp: '^PermitRootLogin'line: 'PermitRootLogin no'
name: 安装 auditd 并启用审计服务yum: # 或 apt，取决于您的 Linux 发行版name: auditdstate: present
name: 启用 auditd 服务service:name: auditdenabled: yesstate: started

2. 文件系统安全

• 关键文件和目录权限控制：利用 file 模块，对 /etc/shadow、/etc/passwd 等敏感文件和目录设置严格的访问权限，防止未授权修改和数据泄露。

• 临时目录权限加固：通过 file 模块，设置 /tmp、/var/tmp 等临时目录的权限为 1777，确保只有授权用户可以在其中创建和执行文件。

• 启用 SELinux 或 AppArmor：使用 selinux 模块启用 SELinux 或 AppArmor，实现强制访问控制，限制进程的权限，增强系统安全

name: 确保 /etc/shadow 权限为 0600file:path: /etc/shadowmode: '0600'
name: 确保 /tmp 目录权限为 1777file:path: /tmpmode: '1777'
name: 安装并启用 SELinux (如适用)selinux:state: enforcingpolicy: targeted

3. 服务和进程管理

• 禁用不必要服务：使用 service 模块停止并禁用不必要的服务，如 Telnet、FTP 等，减少攻击面。

• 配置服务开机启动：通过 service 模块，将非必需服务设置为不自动启动，优化系统资源利用。

• 监控进程活动：结合 Ansible 和第三方工具（如 psutil），实现对进程活动的实时监控，及时发现异常行为。

name: 停止并禁用 telnet 服务service:name: telnetstate: stoppedenabled: no

4. 网络安全

• 配置防火墙规则：利用 firewalld 模块（或其他防火墙模块，如 ufw），启用防火墙并配置入站和出站规则，精确控制网络流量，阻止未授权访问。

• 禁用不必要的网络接口：通过 Ansible 脚本禁用未使用的网络接口，减少攻击面。

• 强化 SSH 配置：使用 lineinfile 模块修改 SSH 配置文件，强制使用 SSH 协议版本 2，禁用 root 登录，限制密码登录尝试次数等，提升 SSH 安全性。

name: 允许 SSH 流量firewalld:port: 22/tcppermanent: yesstate: enabled
name: 拒绝所有其他流量firewalld:service: defaultpermanent: yesstate: enabled

5. 系统更新和补丁管理

• 检查并安装系统更新：使用 yum 或 apt 模块，定期检查并安装系统更新，及时修复已知漏洞。

• 配置自动更新：通过 Ansible 脚本配置 unattended-upgrades 或其他包管理工具，实现自动更新，确保系统始终保持最新状态。

name: 更新所有软件包 (适用于基于 yum 的系统)yum:name: '*'state: latest

6. 其他安全配置

• 禁用 USB 自动挂载：修改 /etc/fstab 或使用 mount 模块，禁用 USB 设备的自动挂载，防止通过 USB 设备引入恶意软件。

• 配置内核参数：使用 sysctl 模块调整内核参数，如禁用 IP 源路由、启用 SYN cookies 等，增强内核安全性。

• 配置日志轮转：利用 logrotate 模块配置日志轮转，确保日志文件不会占用过多磁盘空间。

• 集中收集日志：结合 Ansible 和日志收集工具（如 rsyslog、fluentd），将日志发送到中央日志服务器，便于集中管理和分析。

总结

Ansible 为 Linux 系统安全基线检查和加固提供了强大的自动化能力。通过合理运用 Ansible 的丰富模块和功能，结合安全最佳实践，您可以轻松构建自动化脚本，实现 Linux 系统的全面安全防护。