andrey_chuyan Oct 19 2024 at 01:11

Карманный Ansible и защита от брутфорс-атак

Easy

12 min

8.1K

DevOps*Information Security*Server Administration*Configuring Linux*

From sandbox

Comments 13

andrey_chuyan Oct 19 2024 at 11:15

YouAreEmpty Oct 19 2024 at 11:16

Спасибо за статью! А почему просто не использовать termux, если это android смартфон?

andrey_chuyan Oct 19 2024 at 11:17

Спасибо за идею! termux отличен для работы с телефона, нужно будет испытать как он поведет себя с Ansible. К сожалению, если в сети нет точек wifi, приходится искать пограничные устройства типа микрокомпьютеров с соответствующими модулями.

ashkraba Oct 19 2024 at 13:05

Супер гуд конечно,но не совсем понимаю зачем столько действий. Можно ведь просто поднять тот же дженкинс или любой ci/cd, сделать свой контейнер с ансиблом и нужными настройками и с телефона просто запускать джобу, передавая через параметры уже более тонкие настройки. Я такой подход уже много лет использую для почти сотни серверов - полет нормальный. Гибкость и универсальность зависят полностью от ваших скилов.

andrey_chuyan Oct 19 2024 at 13:32

Спасибо за идею! Проблема в том что иногда приходится работать с изолированными сетями. с настроенным локальным зеркалом репозиториев. Все равно приходится лезть в сеть аппаратно. Предлагаете развернуть контейнер Дженкинса на микрокомпьютере?

jamaze Oct 19 2024 at 17:30

По идее, в вашем случае лучше подойдёт Semaphore https://github.com/semaphoreui/semaphore

andrey_chuyan Oct 19 2024 at 17:31

Вроде то что нужно. Спасибо! Буду испытывать.

dsoastro Oct 19 2024 at 13:11

Если при запуске плейбук упадет, дебажить на телефоне та еще идея

ashkraba Oct 19 2024 at 13:13

Если грамотно написаны плейбуки, то шанс мизерный

VenbergV Oct 19 2024 at 23:02

Возможно я что-то пропустил, но вы вроде бы на Debian 12 (bookworm) все запускаете? Тогда для fail2ban наверное надо прописывать nftables-multiport, вместо iptables-multiport.
И уж простите за занудство, но править sshd_config очень сильно не рекомендуется. Все необходимые исправления надо сложить в свой конфиг, расположив его в отведенной директории sshd_config.d

andrey_chuyan Oct 19 2024 at 23:12

Можно и так, не стал просто заморачиваться, на iptables все работает отлично. В идеале да, во вложенную директорию вносим все изменения, чтобы ничего не сломать.

shanker Nov 2 2024 at 13:02

Не было желания отказаться от RSA в пользу чего-то более безопасного?

andrey_chuyan Nov 7 2024 at 08:17

В перспективе да, но хотелось не усложнять. За ссылку спасибо, хорошая статья.