10.2. selinux RHEL システムロールを使用して複数のシステムに SELinux 設定を適用する
selinux RHEL システムロールを使用すると、検証済みの SELinux 設定を使用して Ansible Playbook を準備および適用できます。
前提条件
- コントロールノードと管理対象ノードの準備が完了している。
- 管理対象ノードで Playbook を実行できるユーザーとしてコントロールノードにログインしている。
-
管理対象ノードへの接続に使用するアカウントに、そのノードに対する
sudo権限がある。
手順
Playbook を準備します。ゼロから準備するか、
rhel-system-rolesパッケージの一部としてインストールされたサンプル Playbook を変更してください。# cp /usr/share/doc/rhel-system-roles/selinux/example-selinux-playbook.yml <my-selinux-playbook.yml> # vi <my-selinux-playbook.yml>
シナリオに合わせて Playbook の内容を変更します。たとえば、次の部分では、システムが SELinux モジュール
selinux-local-1.ppをインストールして有効にします。selinux_modules: - { path: "selinux-local-1.pp", priority: "400" }- 変更を保存し、テキストエディターを終了します。
Playbook の構文を検証します。
$ ansible-playbook <my-selinux-playbook.yml> --syntax-checkこのコマンドは構文を検証するだけであり、有効だが不適切な設定から保護するものではないことに注意してください。
Playbook を実行します。
$ ansible-playbook <my-selinux-playbook.yml>
関連情報
-
/usr/share/ansible/roles/rhel-system-roles.selinux/README.mdファイル -
/usr/share/doc/rhel-system-roles/selinux/ディレクトリー - ナレッジベース記事 SELinux hardening with Ansible
