2.9. 使用 crypto_policies RHEL 系统角色增强 FUTURE 加密策略的安全性

流程

1. 创建一个包含以下内容的 playbook 文件，如 ~/playbook.yml ：

   ---
   - name: Configure cryptographic policies
     hosts: managed-node-01.example.com
     tasks:
       - name: Configure the FUTURE cryptographic security policy on the managed node
         ansible.builtin.include_role:
           name: redhat.rhel_system_roles.crypto_policies
         vars:
           - crypto_policies_policy: FUTURE
           - crypto_policies_reboot_ok: true

   Copy to Clipboard

   示例 playbook 中指定的设置包括如下：

   crypto_policies_policy: FUTURE

   在受管节点上配置所需的加密策略(FUTURE)。它可以是基本策略，也可以是带有一些子策略的基本策略。必须在受管节点上提供指定的基本策略和子策略。默认值为 null。这意味着配置没有改变，crypto_policies RHEL 系统角色将只收集 Ansible 事实。

   crypto_policies_reboot_ok: true

   加密策略更改后导致系统重启，以确保所有服务和应用程序都将读取新的配置文件。默认值为 false。

   有关 playbook 中使用的所有变量的详情，请查看控制节点上的 /usr/share/ansible/roles/rhel-system-roles.crypto_policies/README.md 文件。

2. 验证 playbook 语法：

   $ ansible-playbook --syntax-check ~/playbook.yml

   Copy to Clipboard

   请注意，这个命令只验证语法，不能防止错误的、但有效的配置。

3. 运行 playbook：

   $ ansible-playbook ~/playbook.yml

   Copy to Clipboard

验证

1. 在控制节点上，创建另一个 playbook，例如 verify_playbook.yml ：

   ---
   - name: Verification
     hosts: managed-node-01.example.com
     tasks:
       - name: Verify active cryptographic policy
         ansible.builtin.include_role:
           name: redhat.rhel_system_roles.crypto_policies
       - name: Display the currently active cryptographic policy
         ansible.builtin.debug:
           var: crypto_policies_active

   Copy to Clipboard

   示例 playbook 中指定的设置包括如下：

   crypto_policies_active

   导出的 Ansible 事实包含当前活动的 crypto_policies_policy 变量可接受的格式的策略名称。

2. 验证 playbook 语法：

   $ ansible-playbook --syntax-check ~/verify_playbook.yml

   Copy to Clipboard

3. 运行 playbook：

   $ ansible-playbook ~/verify_playbook.yml
   TASK [debug] **************************
   ok: [host] => {
       "crypto_policies_active": "FUTURE"
   }

   Copy to Clipboard

   crypto_policies_active 变量显示受管节点上活动的策略。