Avatar
😀

Organizations

1 results for
Clear filter

  • Ansible Playbook: SELinux auf Enforcing setzen und Nodes sicher neustarten

    Ansible Snippet: selinux-enforcing.yaml

    Sicherheit ist bei Linux-Servern oberstes Gebot. Die Aktivierung von SELinux (Security-Enhanced Linux) im enforcing-Modus ist ein wichtiger Schritt zur Absicherung.

    Das folgende Ansible-Playbook demonstriert, wie die SELinux-Konfiguration auf allen Ziel-Hosts automatisiert angepasst wird. Zudem zeigt es den Einsatz des serial: 1-Parameters, um Nodes geordnet nacheinander (und nicht zeitgleich) neu zu starten. Dies stellt sicher, dass deine Dienste hochverfĂŒgbar bleiben.

    ---
- hosts: all
  user: root
  become_user: root
  become: yes
  # Der Serial Mode (serial: 1) fĂŒhrt das Playbook Host fĂŒr Host aus,
  # was bei Neustarts von Clustern extrem wichtig ist.
  serial: 1
  tasks:
    - name: Edit SElinux-Config to Enforcing
      lineinfile:
        path: /etc/selinux/config
        regexp: '^SELINUX='
        line: SELINUX=enforcing
  
    - name: Reboot Host with Defaults
      reboot:
  
    - name: Wait for Host to be Available again
      wait_for_connection:

    Zusammenfassung der Ansible-Module

    • lineinfile: Eignet sich hervorragend, um einzelne Konfigurationszeilen verlĂ€sslich anzupassen (hier: /etc/selinux/config).
    • reboot: FĂŒhrt einen geordneten Neustart des Systems durch, falls dies nach Systemanpassungen wie SELinux-Änderungen oder Kernel-Updates nötig ist.
    • wait_for_connection: LĂ€sst den Ansible-Controller pausieren, bis der neugestartete Server wieder per SSH erreichbar ist, bevor mit dem nĂ€chsten Host im serial-Batch fortgefahren wird.
    ansible devops linux security Created Thu, 16 Feb 2023 07:57:22 +0100