额外的加固配置

虽然安全技术实施指南 (STIG) 包含一套非常全面的安全配置，但一些 ansible-hardening 的贡献者希望向角色中添加额外的安全配置。ansible-hardening 角色的 *contrib* 部分旨在将这些配置作为可选的任务集来实现。

contrib 加固配置默认情况下是禁用的，但可以通过设置以下 Ansible 变量来启用它们

security_contrib_enabled: yes

单个任务由 defaults/main.yml 中以 security_contrib_ 开头的 Ansible 变量控制。

内核

C-00001 - 禁用 IPv6

有些系统不需要 IPv6 连接，并且存在链路本地 IPv6 地址可能会为横向移动提供额外的攻击面。部署者可以设置以下变量来禁用所有网络接口上的 IPv6

security_contrib_disable_ipv6: yes

警告

部署者应在测试环境中测试此更改，然后再将其应用于生产部署。将此更改应用于依赖 IPv6 连接的生产系统将导致意外停机。