利用Ansible实现批量Linux服务器安全配置

1.摘要

在上一篇<<初步利用Ansible实现批量服务器自动化管理>>文章中, 我初步实现了通过编写清单和剧本来实现多台服务器的自动化管理,在本章节中, 我将利用Ansible的剧本来实现更实用、更复杂一点的功能, 主要功能包括三个:1.同时在三台服务器中增加IP访问控制,只允许192.168.201.202的IP登录,其它IP禁止其通过SSH登录。2.修改SSH服务的默认22端口,修改为2222。3.启动防火墙,只允许2222端口访问, 不允许其它端口访问。

2.编写剧本

如果只讲原理,没有实践, 学习起来会比较枯燥, 所以我会在编写剧本的过程中边实践边讲解剧本的语法。

在上篇文章中, 我们已经知道剧本是一个YAML格式文件, 在开头,我们要加载所有的远程管理hosts,语法如下:

- hosts: all

还记得在上一章编写的清单文件inventory.yaml吗,看看里面的内容:

hosts: all默认会加载这里的所有IP地址, 紧随其后的命令是:

become: yes

该命令在Ansible中表示提权执行。

默认情况下,Ansible是以普通用户身份通过SSH连接到远程主机的。但有些任务需要 root 或 sudo 权限,比如服务的重启,文件权限的修改等。这时就需要使用become模块提权, 加上become:yes表示这个剧本中的所有任务都需要提权执行。Ansible会在执行任务时自动切换到root身份或目标用户身份,然后执行指定的任务。

become模块非常强大,可以精细控制在剧本中的提权行为,包括:

- 以哪个身份提权(默认root,可以指定其他用户)

- 提权使用的方法(sudo、su等)

- 提权的密码

- 仅在某些任务中提权

紧接着就是编写我们的任务了, 为了方便介绍, 我先给出一个完整的服务剧本,如下:

- hosts: all
  become: yes
​
  tasks:
    - name: 修改SSH端口
      lineinfile:
        path: /etc/ssh/sshd_config
        regexp: '^Port'
        line: 'Port 2222'
    - name: 默认开启防火墙
      ufw:
        state: enabled
    - name: 在防火墙中开启2222端口
      ufw:
        rule: allow
        port: '2222'
    - name: 防火墙拒绝其它端口连接
      ufw:
        rule: deny
        direction: in
        delete: yes
    - name: 允许指定的IP访问
      ufw:
        rule: allow
        src: 192.168.201.202
    - name: 拒绝所有其它IP访问
      ufw:
        rule: deny
        src: 0.0.0.0/0
    - name: 重启ufw防火墙
      service:
        name: ufw
        state: restarted
    - name: 重启SSH服务
      service:
        name: sshd
        state: restarted

可以看出, 任务tasks标签下面有8个子项, 每个子项都有一个name, 这个name表示每个子任务的名字, 方便我们区分子任务。

子任务1: 修改SSH端口

该任务使用了lineinfile模块, 目的是在路径/etc/ssh/sshd_config文件中按行搜索, 通过正则regexp匹配Port, 然后将其修改为2222端口。

我们可以打开/etc/ssh/sshd_config文件看一下, 查找到该项:

在ubuntu系统中, Port一般在ssd_config文件的最后一行。

子任务2:默认开启防火墙

对于ubuntu系统来说,防火墙使用的是ufw, 这里将状态state始终置为:enabled, 因为大部分刚装完的系统默认没有开启ufw,因此这里需要提前设置状态, 否则会导致后面操作ufw不成功。

子任务3: 在防火墙中开启2222端口

在该任务中,我们将之前修改的SSH服务的2222端口添加到防火墙中, 允许外界通过2222端口访问本机。

子任务4:防火墙拒绝其它端口连接

在该任务中, 我们主要设置了拒绝规则, 在防火墙中,除了2222端口之外的其它所有端口全部删除屏蔽掉。

子任务5:允许指定的IP访问

与上面的端口相同,这里设置只允许某一个IP访问本机,这里是只允许192.168.201.202服务器访问。

子任务6:拒绝所有其它IP访问

同上面端口的拒绝规则, 拒绝除192.168.201.202的其它IP地址访问。

子任务7:重启ufw防火墙

这里主要使用restarted重启ufo防火墙,注意,这里不能用reload, 可能会导致防火墙重启失败, 用restart比较稳妥。

子任务8:重启SSH服务

通过设置restarted状态重启SSH服务

3.多任务同步执行

编写完剧本内容之后, 输入以下命令执行即可:

# ansible-playbook -i inventory.yaml playbook.yaml

如果不出意外, 会看到以下执行结果:

如果在执行过程中出现错误, 会看到很醒目的提示,并给出执行状态, 如图:

4.结果验证

首先我们看一下端口修改情况, 发现已经全部将SSH端口修改为2222端口,并可以全部以2222端口登录, 如图:

接着我们看一下IP限制情况, 上面登录的全部是在192.168.201.202机器上登录,而在我个人电脑上登录却失败,如图:

我们登录到三台机器上看一下防火墙规则, 已经按照剧本要求添加了对应规则,如图:

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/125030.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

风力发电场集中监控系统解决方案

安科瑞 崔丽洁 作为清洁能源之一&#xff0c;风力发电场近几年装机容量快速增长。8月17日&#xff0c;国家能源局发布1-7月份全国电力工业统计数据。截至7月底&#xff0c;全国累计发电装机容量约27.4亿千瓦&#xff0c;同比增长11.5%。其中&#xff0c;太阳能发电装机容量约4.…

园区网真实详细配置大全案例

实现要求&#xff1a; 1、只允许行政部电脑对全网telnet管理 2、所有dhcp都在核心 3、wifi用户只能上外网&#xff0c;不能访问局域网其它电脑 4、所有交换机上开rstp协议&#xff0c;接入交换机上都开bpdu保护&#xff0c;核心lsw1设置为根桥 5、只允许vlan 10-40上网 5、所有…

2021年12月 Python(四级)真题解析#中国电子学会#全国青少年软件编程等级考试

Python等级考试(1~6级)全部真题・点这里 一、单选题(共25题,每题2分,共50分) 第1题 Python 中函数不包括? A:标准函数 B:第三库函数 C:内建函数 D:参数函数 答案:D 在 Python 中,并没有称为"参数函数"的函数类别。正确的说法是 A:标准函数、B:第…

从公共业务提取来看架构演进——功能设置篇

1.引言 上一篇文章我们以帐号权限的提取为例&#xff0c;介绍了当架构跟不上业务发展时及时调整架构的一种思路。这篇文章我们以功能设置为例&#xff0c;进一步讨论公共业务提取这个话题。 功能设置在本文中是指产品开放给企业和用户的一些功能设置项&#xff0c;以视频会议…

设计模式是测试模式咩?

设计模式和测试模式概述 软件的生命周期为什么要进行测试&#xff08;测试的目的&#xff09;&#xff1f;软件的设计模式1. **瀑布模型**3. 增量和迭代模型4. 敏捷模型5. 喷泉模型 测试模型V模型W模型 一个应用程序从出生到“死亡”会经过非常漫长的流程…… 软件的生命周期 …

剑指JUC原理-15.ThreadLocal

&#x1f44f;作者简介&#xff1a;大家好&#xff0c;我是爱吃芝士的土豆倪&#xff0c;24届校招生Java选手&#xff0c;很高兴认识大家&#x1f4d5;系列专栏&#xff1a;Spring源码、JUC源码&#x1f525;如果感觉博主的文章还不错的话&#xff0c;请&#x1f44d;三连支持&…

XSS 跨站点脚本漏洞详解

文章目录 漏洞概述XSS漏洞原理xss漏洞危害xss漏洞验证XSS漏洞分类反射型存储型DOM型 固定会话攻击原理简单xss注入复现 XSS 攻防xss构造方法利用标签符号<>事件响应javascript伪协议其他标签 XSS 变形方式xss防御黑白名单策略输入过滤 案例XSS 盲打 漏洞概述 ​ 跨站点脚…

rancher或者其他容器平台使用非root用户启动jar

场景&#xff1a; java程序打成镜像&#xff0c;在rancher上运行&#xff0c;默认是root账户&#xff0c;发现hdfs或者hive不允许root账户操作&#xff1b;所以打算用费root账户启动jar&#xff0c;使其具有hive和hdfs的操作权限。 Dockerfile entrypoint.sh 思路就是上面这样…

【第2章 Node.js基础】2.3 Node.js事件机制

2.3 Node.js事件机制 学习目标 &#xff08;1&#xff09;理解Node.js的事件机制&#xff1b; &#xff08;2&#xff09;掌握事件的监听与触发的用法。 文章目录 2.3 Node.js事件机制什么是事件机制为什么要有事件机制事件循环事件的监听与触发EventEmitter类常用API 什么是…

面包屑实现

背景&#xff1a;面包屑根据菜单内容显示不同内容。首页永远存在&#xff0c;后面的活动管理及多级菜单的面包屑展示。 实现原理&#xff1a; 通过this.$route.matched获取所有匹配路由&#xff0c;将处理首页外的其他路由设置到一个数组中&#xff0c;再通过数组循环方式显示…

Qt国际化

刚开始听到这个名字我还觉得很高大上&#xff0c;最后发现这不就是系统语言选择吗&#xff0c;适应不同国家的人 先在widget.cpp写个要翻译的东西&#xff0c;我这里想做英语翻译成汉语、日语、泰语三种 #include "widget.h"Widget::Widget(QWidget *parent): QWidg…

0基础学习VR全景平台篇第119篇:利用蒙版航拍补天 - PS教程

上课&#xff01;全体起立~ 大家好&#xff0c;欢迎观看蛙色官方系列全景摄影课程&#xff01; 嗨&#xff0c;大家好。欢迎收看蛙色VR系列教程之PS利用蒙版航拍补天。 我们之前已经教过大家如何进行航拍调色&#xff0c;不知道大家学的怎么样呢&#xff1f; 会不会发现&…

壁炉艺术:美与温暖的交汇点

在我们的家中&#xff0c;有一种东西&#xff0c;既能提供温暖&#xff0c;又能为室内增添活力。壁炉不仅是取暖的好帮手&#xff0c;还能成为室内设计的亮点。 壁炉最初是为了取暖而生的&#xff0c;但如今&#xff0c;它们已经变成了室内设计的一部分。现代壁炉不再仅仅是灶…

【Qt之QAssociativeIterable】使用

介绍 QAssociativeIterable类是QVariant中一个关联式容器的可迭代接口。这个类允许多种访问在QVariant中保存的关联式容器元素的方法。如果一个QVariant可以转换为QVariantHash或QVariantMap&#xff0c;那么QAssociativeIterable的实例可以从中提取出来。 QHash<int, QSt…

centos的docker镜像下载ffmpeg的方式

ffmpeg是业界比较好用的开源的音频处理工具&#xff0c;当我们在实际业务中使用ffmpeg的时候&#xff0c;直接使用yum安装回提示找不到ffmpeg的包&#xff0c;遇到这种情况&#xff0c;可以通过以下方式来进行安装&#xff08;docker环境&#xff09;。 已经拥有镜像 更新源 …

【自动化测试】基于Selenium + Python的web自动化框架

一、什么是Selenium&#xff1f; Selenium是一个基于浏览器的自动化工具&#xff0c;她提供了一种跨平台、跨浏览器的端到端的web自动化解决方案。Selenium主要包括三部分&#xff1a;Selenium IDE、Selenium WebDriver 和Selenium Grid&#xff1a;  1、Selenium IDE&…

电脑如何设置不同网段的IP地址,实现访问不同IP的PLC或HMI设备?

电脑如何设置不同网段的IP地址,实现访问不同IP的PLC或HMI设备? 电脑如何设置不同网段的IP地址,实现访问不同IP的PLC或HMI设备? 这里以win10系统为例进行说明: 如下图所示,打开右下角的“网络和Internet设置”, 如下图所示,点击进入“更改适配器选项”, 如下图所示…

软件测试入门之接口测试

首先&#xff0c;什么是接口呢&#xff1f; 接口一般来说有两种&#xff0c;一种是程序内部的接口&#xff0c;一种是系统对外的接口。 系统对外的接口&#xff1a;比如你要从别的网站或服务器上获取资源或信息&#xff0c;别人肯定不会把数据库共享给你&#xff0c;他只能给你…

【技术类-01】doc转PDF程序卡死的解决方案,

摘要&#xff1a; 1、报错&#xff1a; raise AttributeError("%s.%s" % (self._username_, attr))&#xff09; 2、表现&#xff1a;doc转PDF卡死&#xff08;白条不动或出现以上英文&#xff09; 3、解决&#xff1a;在docx保存代码行后面加上time.sleep(3) 4、…

vue+java实现语音转文字思路

思路&#xff1a; 前端录音生成wav文件后端去解析 技术&#xff1a; 后端&#xff1a; Vosk是一个离线开源语音识别工具。它可以识别16种语言&#xff0c;包括中文。 API接口&#xff0c;让您可以只用几行代码&#xff0c;即可迅速免费调用、体验功能。 目前支持 WAV声音文件…