15.2. bootloader RHEL システムロールを使用したブートメニューのパスワード保護


bootloader RHEL システムロールを使用して、GRUB2 ブートメニューにパスワードを自動的に設定できます。この方法により、権限のないユーザーによるブートパラメーターの変更を効率的に防止し、システムのブートをより適切に制御できます。

前提条件

手順

  1. 機密性の高い変数を暗号化されたファイルに保存します。

    1. vault を作成します。

      $ ansible-vault create vault.yml
      New Vault password: <vault_password>
      Confirm New Vault password: <vault_password>
    2. ansible-vault create コマンドでエディターが開いたら、機密データを <key>: <value> 形式で入力します。

      pwd: <password>
    3. 変更を保存して、エディターを閉じます。Ansible は vault 内のデータを暗号化します。
  2. 次の内容を含む Playbook ファイル (例: ~/playbook.yml) を作成します。

    ---
    - name: Configuration and management of GRUB2 boot loader
      hosts: managed-node-01.example.com
      vars_files:
        - vault.yml
      tasks:
        - name: Set the bootloader password
          ansible.builtin.include_role:
            name: rhel-system-roles.bootloader
          vars:
            bootloader_password: "{{ pwd }}"
            bootloader_reboot_ok: true

    サンプル Playbook で指定されている設定は次のとおりです。

    bootloader_password: "{{ pwd }}"
    この変数は、ブートパラメーターをパスワードで保護します。
    bootloader_reboot_ok: true
    変更を有効にするために再起動が必要であることをロールが検出し、管理対象ノードの再起動を実行します。
    重要

    ブートローダーのパスワードの変更は、冪等のトランザクションではありません。つまり、同じ Ansible Playbook を再度適用すると、結果が同じではなく、管理対象ノードの状態が変わります。

    Playbook で使用されるすべての変数の詳細は、コントロールノードの /usr/share/ansible/roles/rhel-system-roles.bootloader/README.md ファイルを参照してください。

  3. Playbook の構文を検証します。

    $ ansible-playbook --syntax-check --ask-vault-pass ~/playbook.yml

    このコマンドは構文を検証するだけであり、有効だが不適切な設定から保護するものではないことに注意してください。

  4. Playbook を実行します。

    $ ansible-playbook --ask-vault-pass ~/playbook.yml

検証

  1. 管理対象ノードで、GRUB2 ブートメニュー画面中に、編集のために e キーを押します。

    GRUB2 ブートローダーメニュー
  2. ユーザー名とパスワードの入力を求められます。

    GRUB2 メニューロック
    Enter username: root
    ブートローダーのユーザー名は常に root であり、Ansible Playbook で指定する必要はありません。
    Enter password: <password>
    ブートローダーのパスワードは、vault.yml ファイルで定義した pwd 変数に対応します。
  3. 特定のブートローダーエントリーの設定を表示または編集できます。

    GRUB2 ブートローダーエントリーの詳細

関連情報

  • /usr/share/ansible/roles/rhel-system-roles.bootloader/README.md ファイル
  • /usr/share/doc/rhel-system-roles/bootloader/ ディレクトリー
Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.