Ansible成为并授予最佳实践

时间:2016-06-19 11:11:21

标签: security configuration ansible

我使用Ansible来管理容器。我希望确保在部署时遵循用户的最佳做法。在那个说明:

  1. 我的大多数剧本都有以下陈述。这(我认为)是大多数活动所必需的,例如安装包,移动系统范围的配置文件以及添加/更新用户。你做什么的?
    2.     become: yes
    become:method: sudo

    1. 我应该在主机上部署新用户吗?与#1相关,我可以修改此用户的sudoers访问以允许apt和其他包,但这是相当多的工作,并且可能随着模块的改变而改变。如果需要,它将允许我将用户与SSH访问隔离开来。

    2. 我不了解应该遵循的其他做法(在安全性方面)应用配置管理系统。我错过了什么吗?

1 个答案:

答案 0 :(得分:0)

我们当前禁止使用become,而不是绝对必要的,而是以访问服务器的用户(例如user1)运行我们的Playbooks,并使用-b标志来强制执行sudo应用程序。

这有助于:

  1. 应用剧本的用户需要提供-b标志(即:一个额外的"安全" - 你可以将它与语句&#34进行比较;你应该是root的当你不需要")时的linux盒子。
  2. 您可以运行没有-b的剧本进行检查模式。它将告诉您是否需要在该服务器上执行任何操作而不执行任何操作。
相关问题
最新问题