26.2. 使用 sshd RHEL 系统角色配置 OpenSSH 服务器
您可以使用 sshd
RHEL 系统角色配置多个 OpenSSH 服务器。它们通过提供以下内容来确保远程用户的安全通信环境:
- 管理来自远程客户端的传入 SSH 连接
- 凭证验证
- 安全数据传输和命令执行
您可以将 sshd
RHEL 系统角色与其他更改 SSHD 配置的 RHEL 系统角色一起使用,如 Identity Management RHEL 系统角色。要防止配置被覆盖,请确保 sshd
RHEL 系统角色使用命名空间(RHEL 8 及更早版本)或置入目录(RHEL 9)。
先决条件
- 您已准备好控制节点和受管节点。
- 以可在受管主机上运行 playbook 的用户登录到控制节点。
-
用于连接到受管节点的帐户具有
sudo
权限。
流程
创建一个包含以下内容的 playbook 文件,如
~/playbook.yml
:--- - name: SSH server configuration hosts: managed-node-01.example.com tasks: - name: Configure sshd to prevent root and password login except from particular subnet ansible.builtin.include_role: name: rhel-system-roles.sshd vars: sshd: PermitRootLogin: no PasswordAuthentication: no Match: - Condition: "Address 192.0.2.0/24" PermitRootLogin: yes PasswordAuthentication: yes
示例 playbook 中指定的设置包括以下内容:
PasswordAuthentication: yes|no
-
控制 OpenSSH 服务器(
sshd
)是否接受来自客户端的使用用户名和密码组合的身份验证。 Match:
-
match 块只允许
root
用户使用密码从子网192.0.2.0/24
登录。
有关 playbook 中使用的角色变量和 OpenSSH 配置选项的详情,请查看控制节点上的
/usr/share/ansible/roles/rhel-system-roles.sshd/README.md
文件和sshd_config (5)
手册页。验证 playbook 语法:
$ ansible-playbook --syntax-check ~/playbook.yml
请注意,这个命令只验证语法,不会防止错误但有效的配置。
运行 playbook:
$ ansible-playbook ~/playbook.yml
验证
登录到 SSH 服务器:
$ ssh <username>@<ssh_server>
验证 SSH 服务器上
sshd_config
文件的内容:$ cat /etc/ssh/sshd_config.d/00-ansible_system_role.conf # # Ansible managed # PasswordAuthentication no PermitRootLogin no Match Address 192.0.2.0/24 PasswordAuthentication yes PermitRootLogin yes
检查您是否可以以 root 用户身份从
192.0.2.0/24
子网连接到服务器:确定您的 IP 地址:
$ hostname -I 192.0.2.1
如果 IP 地址在
192.0.2.1
-192.0.2.254
范围内,您可以连接到服务器。以
root
用户身份连接到服务器:$ ssh root@<ssh_server>
其他资源
-
/usr/share/ansible/roles/rhel-system-roles.sshd/README.md
文件 -
/usr/share/doc/rhel-system-roles/sshd/
目录