[ English | Indonesia | русский ]
应用 ansible-hardening¶
在 OpenStack-Ansible 部署中,ansible-hardening 角色适用于作为任何类型的节点(基础设施或计算节点)运行的物理主机。默认情况下,该角色已启用。您可以将其禁用,方法是将 user_variables.yml 文件中的 apply_security_hardening 变量的值更改为 false
apply_security_hardening: false
您可以使用 OpenStack-Ansible 提供的 playbook 将安全加固配置应用于现有环境或审计环境。
# Apply security hardening configurations
openstack-ansible openstack.osa.security_hardening
# Perform a quick audit by using Ansible's check mode
openstack-ansible --check openstack.osa.security_hardening
有关安全配置的更多信息,请参阅 安全加固角色 文档。
部署主机加固¶
您可以通过在 openstack_user_variables 文件中定义 security_host_group 变量来扩展到部署主机。将 localhost 与其他主机一起包含在内,如下所示
security_host_group: localhost, hosts
然后使用以下命令应用加固:
openstack-ansible openstack.osa.security_hardening
或者,您也可以在运行时将此变量作为额外变量提供,例如
openstack-ansible openstack.osa.security_hardening -e security_host_group=localhost
警告
应用安全加固后,将禁用密码的 root 登录。请确保在应用更改之前配置 SSH 密钥身份验证或设置具有 sudo 权限的非 root 用户,否则您可能会失去对主机的访问权限。
包含部署主机有助于减少其攻击面,并确保运行 OpenStack-Ansible 的主机遵循与您的其他节点相同的安全最佳实践。
在 OpenStack-Ansible 中隐藏密钥¶
OpenStack-Ansible 角色使用诸如 _oslodb_setup_nolog、_service_setup_nolog 和 _oslomsg_nolog 等变量来控制是否在日志中隐藏任务输出。
默认情况下,这可以防止敏感值(例如密码)写入日志文件。禁用这些变量可以使调试更容易,但也会冒着以明文形式暴露密钥的风险。
警告
谨慎使用它们:在故障排除时保持日志记录启用,但请记住,如果关闭保护,密码可能会出现在日志中。
