红帽全球峰会第 3 章 受管节点配置
Ansible Automation Platform 是一个无代理技术,它依赖于与它管理的设备(称为受管节点)进行远程连接来运行自动化任务。
本章提供了改进 Ansible Automation Platform 自动化受管节点的安全性问题,包括 Ansible Automation Platform 和受管节点之间的远程连接。
请注意,受管节点配置可能会根据操作系统、合规性配置集、配置和机构策略等因素而有所不同。
在实施前,此处提供的受管节点配置的任何建议都必须进行全面的测试和检查,以确保它们满足机构策略和要求。
3.1. Red Hat Enterprise Linux 受管节点配置
下面的部分提供了 Red Hat Enterprise Linux (RHEL)受管节点的指导,但概念可能也适用于其他 Linux 发行版。
提供了用于手动配置 RHEL 受管节点的示例。这些步骤也可以使用 Ansible Automation Platform 自动执行,或者可以添加到使用 Red Hat Insights 镜像构建程序等工具创建的 标准操作环境 (SOE)或"冷镜像"中。
3.1.1. 创建具有访问限制的专用服务帐户
Ansible Automation Platform 可以配置为使用各种用户或帐户连接到受管节点。
本指南建议为这一目的创建一个单一的专用服务帐户。此服务帐户必须是每个受管节点上的本地帐户,以确保自动化作业继续运行,即使外部身份验证机制遇到中断。这个建议适用,除非机构策略强制集中管理的服务帐户。服务帐户必须清楚地命名,以指示其用途,例如 ansible 或 aapsvc。
本节的其余部分使用 "ansible" 作为示例中本地服务帐户的假定名称。
本地服务帐户以以下方式配置:
- 它被授予足够权限来运行任何所需的自动化作业。
- 仅限于 SSH 密钥身份验证。不允许使用密码身份验证。
只有从 Ansible Automation Platform {ControllerNames}s 和执行节点的连接授予访问权限。
注意要以服务帐户以外的用户身份在 Ansible playbook 或作业模板中执行任务,请使用
become和become_user关键字。不需要以其他用户身份连接到受管节点。-
useradd命令可用于创建本地服务帐户。例如:
sudo useradd ansible \
--system --create-home \
--comment "Ansible Automation Platform service account"
sudo useradd ansible \
--system --create-home \
--comment "Ansible Automation Platform service account"3.1.1.1. 为服务帐户配置 sudo 权限
服务帐户需要足够的权限才能在受管节点上运行任何当前或将来的自动化作业。本节介绍 sudo 的使用,但其他特权升级方法可用。
由于 Ansible Automation Platform 默认为在基于 Linux 的受管节点上使用 ansible.builtin.sudo become 插件,因此该服务帐户必须使用 sudo 命令在 RHEL 受管节点上运行任何命令。
要配置此功能,请使用以下流程:
流程
创建文件
/etc/sudoers.d/ansible,并包含以下内容:Rules for the ansible service account
# Rules for the ansible service account ansible ALL=(ALL) NOPASSWD: ALLCopy to Clipboard Copied! Toggle word wrap Toggle overflow 对文件设置限制权限:
sudo chmod 600 /etc/sudoers.d/ansible'验证该文件是否使用正确的语法:
sudo visudo -cf /etc/sudoers.d/ansible
3.1.1.2. 为服务帐户需要 SSH 密钥身份验证
该服务帐户不得被允许使用带有与受管节点的 SSH 连接的密码身份验证。
使用以下步骤配置 SSH 守护进程:
流程
创建文件
/etc/sshd/sshd_config.d/60-ansible.conf,并包含以下内容:sshd config applied to the ansible service account
# sshd config applied to the ansible service account Match User ansible PasswordAuthentication no Match allCopy to Clipboard Copied! Toggle word wrap Toggle overflow 验证该文件是否使用正确的语法:
sudo sshd -t重启 SSH 守护进程
sudo systemctl restart sshd.service
假设禁止密码身份验证,则必须将至少一个 SSH 公钥附加到服务帐户的 authorized_keys 文件(通常位于 /home/ansible/.ssh/authorized_keys)。
这些公钥必须与用于在 Ansible Automation Platform 中建立机器凭证的私钥对应,因为这些凭证有助于连接到 RHEL 受管节点。
本指南为单个服务帐户提供与受管 RHEL 节点的连接,但这并不意味着在所有节点上使用单个 SSH 密钥。在大型组织中,管理 RHEL 服务器的单个团队可以在 Ansible Automation Platform 中生成自己的机器凭证。然后,团队可以在其特定 RHEL 服务器上的授权密钥文件中添加对应的密钥。这种方法确保通过使用通用服务帐户在机构范围内一致访问受管节点,同时让每个团队独立管理其分配节点的凭据。
3.1.1.3. 为服务帐户启用和配置 pam_access 控制
要限制来自 Ansible Automation Platform 自动化控制器和执行节点的远程登录访问,并确保服务帐户完全被 Ansible Automation Platform 使用,请使用以下步骤:
流程
使用自动化控制器和执行节点的 FQDN,使用控制器节点和执行节点的 FQDN 将以下内容添加到
/etc/security/access.conf文件中:allow the ansible service account to log in from local sources and the hybrid controller or execution nodes, and deny all other sources
# allow the ansible service account to log in from local sources and # the hybrid controller or execution nodes, and deny all other sources +:ansible:LOCAL controller1.example.com controller2.example.com en1.example.com -:ansible:ALLCopy to Clipboard Copied! Toggle word wrap Toggle overflow 在当前 authselect 配置集中启用
with-pamaccess功能。RHEL 默认包括的所有 authselect 配置集都有此功能。sudo authselect enable-feature with-pamaccess
3.1.2. 合规配置集注意事项
在许多环境中,您可以使用 Ansible Automation Platform 管理将安全控制应用到受管 RHEL 节点的系统,以满足合规性配置文件的要求,如 CIS、PCI/DSS、DISA STIG 或类似。以下小节详细介绍了必须修改 Ansible Automation Platform 的特定安全控制集合,以便在这样的环境中正确管理 RHEL 节点。
3.1.2.1. 受管 RHEL 节点上的 fapolicyd
当针对 RHEL 受管节点运行 Ansible Automation Platform 作业时,大多数任务都通过将 Python 代码复制到受管节点来执行,然后在本地执行。如果在受管节点上启用了 fapolicyd 服务,则作业将失败,因为 RHEL 附带的默认规则集可防止这个 Python 代码运行。
要防止这个问题发生,请使用以下方法之一:
- 选项 1:将 fapolicyd 服务设置为 permissive 模式
- 选项 2:创建自定义 fapolicyd 规则
3.1.2.2. 选项 1:将 fapolicyd 服务设置为 permissive 模式
fapolicyd 服务可以被设置为 "permissive" 模式,这意味着它只记录 fapolicyd 规则违反情况,而不是强制执行它们。
要为 fapolicyd 配置 permissive 模式,请使用以下流程:
流程
-
编辑文件
/etc/fapolicyd/fapolicyd.conf,并设置 "permissive = 1"。 -
运行
systemctl restart fapolicyd.service重启fapolicy服务。
在此配置不符合所需的合规性配置集或本地策略的环境中,讨论与您的安全审核员相关的安全控制。
3.1.2.3. 选项 2:创建自定义 fapolicyd 规则
如果 fapolicyd 服务必须强制执行其规则,请考虑设计一组自定义规则来允许 Ansible Automation Platform 执行其 Python 代码。
以下示例流程将 "ansible" 服务帐户视为可信实体,并使它在本地 Ansible 临时目录中执行内容(默认为 $HOME/.ansible/tmp)。
流程
使用以下内容创建文件
/etc/fapolicy/rules.d/50-ansible.rules:allow perm=any uid=ansible trust=1 : dir=/home/ansible/.ansible/tmp/重启 fapolicyd 服务:
sudo systemctl restart fapolicyd.service
这个示例规则可能需要修改来与受管 RHEL 节点上存在的任何其他 fapolicyd 规则一起使用,在投入生产前,安全审核员必须经过全面测试和批准。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}