Ansible Snippet: selinux-enforcing.yaml
Sicherheit ist bei Linux-Servern oberstes Gebot. Die Aktivierung von SELinux (Security-Enhanced Linux) im enforcing-Modus ist ein wichtiger Schritt zur Absicherung.
Das folgende Ansible-Playbook demonstriert, wie die SELinux-Konfiguration auf allen Ziel-Hosts automatisiert angepasst wird. Zudem zeigt es den Einsatz des serial: 1-Parameters, um Nodes geordnet nacheinander (und nicht zeitgleich) neu zu starten. Dies stellt sicher, dass deine Dienste hochverfügbar bleiben.
---
- hosts: all
user: root
become_user: root
become: yes
# Der Serial Mode (serial: 1) führt das Playbook Host für Host aus,
# was bei Neustarts von Clustern extrem wichtig ist.
serial: 1
tasks:
- name: Edit SElinux-Config to Enforcing
lineinfile:
path: /etc/selinux/config
regexp: '^SELINUX='
line: SELINUX=enforcing
- name: Reboot Host with Defaults
reboot:
- name: Wait for Host to be Available again
wait_for_connection:
Zusammenfassung der Ansible-Module
- lineinfile: Eignet sich hervorragend, um einzelne Konfigurationszeilen verlässlich anzupassen (hier:
/etc/selinux/config). - reboot: Führt einen geordneten Neustart des Systems durch, falls dies nach Systemanpassungen wie SELinux-Änderungen oder Kernel-Updates nötig ist.
- wait_for_connection: Lässt den Ansible-Controller pausieren, bis der neugestartete Server wieder per SSH erreichbar ist, bevor mit dem nächsten Host im
serial-Batch fortgefahren wird.