Karaliste cekirdek modullerini iceren dosyadir. 9

Transkript

1 Contents Karaliste cekirdek modullerini iceren dosyadir. 9 karalisteye istenilen kadar cekirdek modulu eklenebilir. 9 Usb belleklerin calismasi icin gerekli olan modul bu sekilde karalisteye eklenmektedir 9 Heartbeat yapilandirmasini belirtmektedir. 9 Ssh degiskenlerini iceren dosyadir. 9 Zaman sunucusu ayarlarini iceren dosyadir. 10 istenilen kadar zaman sunucusu eklenebilir. 10 Grub yapilandirmasini belirtmektedir. 10 Auditd degiskenlerini iceren dosyadir. 11 Log sunucu ayarlarini iceren dosyadir. 11 istenilen kadar log sunucusu eklenebilir. 11 Logrotate degiskenlerini iceren dosyadir 12 Base rolunde olmasi gereken dizinleri iceren dosyadir. 12 Paket degiskenlerini iceren dosyadir. 12 istenilen kadar paket eklenebilir. 12 Gitin degiskenlerini iceren dosyadir 13 Playbooklari oynatacak scriptlerin dosyalaridir. 13 istenilen kadar script eklenebilir. 13 Dizinleri iceren dosyadir. 13 Gkts nin degiskenlerini iceren dosyadir 14 GitLab in degiskenlerinin tutuldugu dosyadir. 14 1

2 Hook scriptlerini iceren dosyadir. 16 istenilen kadar dosya ve klasor eklenebilir. 16 Paket degiskenlerini iceren dosyadir. 16 istenilen kadar paket eklenebilir. 16 Paket degiskenlerini iceren dosyadir. 17 istenilen kadar paket eklenebilir. 17 Guvenlik Duvari Kurucusunun degiskenlerini iceren dosyadir. 18 Dizinleri iceren dosyadir. 18 Git repolarini iceren dosyadir. 18 Paket degiskenlerini iceren dosyadir. 19 istenilen kadar paket eklenebilir. 19 Rsyslog un degiskenlerini iceren dosyadir 20 Rsyslog yapilandirmasini belirtmektedir. 20 Signer yapilandirmasini belirtmektedir. 20 Grup degiskenlerini iceren dosyadir. 21 istenilen kadar grup eklenebilir. 21 Kullanici degiskenlerini iceren dosyadir. 21 istenilen kadar kullanici eklenebilir. 21 Paket degiskenlerini iceren dosyadir. 22 istenilen kadar paket eklenebilir. 22 Module degiskenlerini iceren dosyadir. 22 2

3 istenilen kadar modul eklenebilir. 22 Guvenlik duvari isletim sistemi bazinda hardening parametreleri belirtilmektedir. 23 Dizinleri iceren dosyadir. 23 Grup degiskenlerini iceren dosyadir. 24 istenilen kadar grup eklenebilir. 24 Kullanici degiskenlerini iceren dosyadir. 25 istenilen kadar kullanici eklenebilir. 25 Paket degiskenlerini iceren dosyadir. 25 istenilen kadar paket eklenebilir. 25 Iptables yapilandirmasini iceren dosyadir. 25 Module degiskenlerini iceren dosyadir. 26 istenilen kadar modul eklenebilir. 26 Guvenlik duvari isletim sistemi bazinda hardening parametreleri belirtilmektedir. 26 Contrackd yapilandirmasini iceren dosyadir. 27 Dizinleri iceren dosyadir. 27 # Ansible Playbook Kullanımı Bu dokümanda, AHTAPOT projesi kapsamında, merkezi yönetim uygulaması olarak kullanılan Ansible üzerinde geliştirilen playbooklar ın temel rolleri ve detayları dokümante edilmektedir. [TOC] 3

4 Farklı görev üstlenen sunucular için farklı roller tanımlanmış olup her bir rolün yapısı aşağıda belirtilen şablon kullanılarak hazırlanmıştır. Şablonun temel yapısında roles/ klasörü altında bulunan alt klasörler gösterilmektedir. -tasks/ -main.yml -task1.yml -task2.yml -defaults/ -vars/ -main.yml -templates/ -template1.j2sertifika Otoritesi -template2.j2 -meta/ -README.md Yukarıdaki klasör şablonuna göre her bir klasörün altında bulunan main.yml dosyası ana dosya olarak barınmakta ve içerisine belirtilen.yml dosyalarını playbook a dahil etmektedir. Örnek vermek gerekirse, tasks dizini altındaki main.yml dosyası, task1.yml ve task2.yml dosyalarını playbook a dahil etmektedir. <main.yml> include: task1.yml - include: task2.yml Bu konsept dahilinde, her bir dizin o ansible rolüne ait farklı işlevliklere sahiptir. Bu işlevlerin ayrıntıları aşağıda belirtilmiştir. Tasks: Herhangi bir görev, bu dizin altında belirtilir. (Örneğin: paket kurulumu, konfigurasyonu vb.) Vars: Ansible rollerine ait her bir değişken bu dizin altında belirtilir. (Örneğin: kullanıcı id, kullanıcı adı, program hafıza boyutu vb.) Defaults: Tek defaya mahsus kullanılmak üzere ya da vars dizininde belirtilmemiş değişkenler burada yer alır. Mevcut tasarımda bu klasör hiç bir rolde kullanılmamaktadır. Templates: Playbook çalıştığında sunucuda yapılması gereken, yapılandırma ayarları için oluşturulan temel dosyalardır. Bu şablonlar playbook un çalıştırılacağı sunucu üzerindeki konfigurasyon dosyaları yerlerine konularak konfigurasyon işlemi tamamlanacaktır. Handlers: Task lerin notify kısımlarında belirtilen komutların dizin klasörüdür. Bu task lerde meydana gelecek bir değişiklikte notify kısmında belirtilen handlers lar çağırılacaktır. Örneğin bir servisin konfigurasyonu değişmesi durumunda servisi yeniden başlatılma işlemini bu handlers lar üstlenmektedir. 4

5 Meta: Rollerin metadatalarını içerir. Bu metadatalarda ise paket bilgileri, bağımlılıklar gibi alanlar bulunmaktadır. Ansible Ahtapot projesi kapsamında merkezde bulunacak ve gitlab deposunu kullanarak sistem durumunu kararlı olarak ayakta tutacak merkezdeki komuta kontrol sunucusu üzerinde çalıştırılması gereken playbook dur. /etc/ansible/playbooks/ dizini altında bulunan ansible.yml dosyasına bakıldığında, hosts satırında Ansible a ait /etc/ansible/ altında bulunan hosts dosyasında ansible satırı altına yazılmış tüm sunucularda bu playbookun oynatılacağı belirtilir. remote_user satırında, sistemler oynatılacak playbookun hangi kullanıcı ile oynatılacağı belirlenir. sudo satırı ile çalışacak komutların sudo yetkisi ile çalışması belirlenir. roles satırı altında bulunan satırlarda ise bu playbook çalıştığında base ve ansible rollerinin çalışacağı belirtilmektedir. $ more /etc/ansible/playbooks/ansible.yml # Calistirildiginda Ansible Kurulumu Yapilir - hosts: ansible remote_user: ahtapotops sudo: yes roles: - { role: base } - { role: ansible } Base Rolü Değişkenleri Bu rol Ahtapot projesi kapsamındaki tüm sunucularda çalışan temel ayarlamaların yapıldığı roldür. Bu rolün görevleri: * Tüm sistemlerde olması gereken paketlerin kurulum ve denetimleri: auditd,sysstat,ntp,bash,rsyslog,sudo * Tüm sistemlerde bulunması gereken servislerin yapılandırılması: ntp, auditd, ssh * Tüm sistemlerde yapılması gereken genel işlemler: * Sudo yapılandırma * Sysctl yapılandırma * /etc/hosts yapılandırma * Grub yapılandırma * Rsyslog yapılandırma * USB kullanım kapatma / açma 5

6 Bu roldeki değişkenler /etc/ansible/roles/base/vars/ dizini içeirisnde ayrı yml dosyaları halinde belirtilmiştir. yml dosylarının içerikleri aşağıdaki gibidir. group.yml dosyası sistemler üzerinde kullanılan kullanıcının ait olduğu grup değişkenlerini içeren dosyadır. Sistemde var olması gereken grup ismi name satırına yazılır ve state satırına present bilgisi girilir. İlgili sistemde bulunmaması durumda yeniden oluşturur. Sistemden grubun silinmesi isteniyorsa state satırına absent bilgisi girilmelidir. # Grup degiskenlerini iceren dosyadir. # istenilen kadar grup eklenebilir. base_user_groups: group1: name: ahtapotops state: present # groupx: # name: # state: user.yml dosyası sistemler üzerinde kullanılan kullanıcı değişkenlerini içeren dosyadır. name satırına yazılan kullanıcının sistemde var olması isteniyorsa state satırına present bilgisi girilmelidir. İlgili sistemde bulunmaması durumda yeniden oluşturur. Sistemden kullanıcının silinmesini isteniyorsa state satırına absent bilgisi girilmelidir. # Kullanici degiskenlerini iceren dosyadir. # istenilen kadar kullanici eklenebilir. base_users: user1: name: ahtapotops group: ahtapotops shell: /bin/bash state: present # userx: # name: # group: # shell: # state: package.yml dosyasına sistemler üzerine kurulacak paket değişkenlerini içeren dosyadır. name satırına paket adı ve versiyon bilgisi yazılır. state satırı ile paketlerin durumu ile ilgili bilgi verilir. Üç farklı değişken kullanılabilir; present paket yüklü ise herhangi değişiklik yapmaz. absent değişkeni ile paketin yüklü olması durumunda sistemden silinmesi sağlanır. latest değişkeni ile paket reposunda ilgili paketin güncel versiyonu var ise otomatik güncellenmesi sağlanır. # Paket degiskenlerini iceren dosyadir. # istenilen kadar paket eklenebilir. 6

7 base_packages: package01: name: "auditd=1:2.4-1+b1" state: "present" package02: name: "sysstat= " state: "present" package03: name: "ntp=1:4.2.6.p5+dfsg-7+deb8u1" state: "present" package04: name: "bash= b1" state: "present" package05: name: "rsyslog= deb8u2" state: "present" package06: name: "sudo=1.8.10p3-1+deb8u3" state: "present" package07: name: "logrotate= b1" state: "present" package08: name: "apt-transport-https= " state: "present" # packagexx: # name: # state: repo.yml dosyası sistemlere eklenecek depo bilgilerini içeren dosyadır. url satırında eklenecek deponun adresi belirtilmektedir. updatecache seçeneği ile apt-get update komutu çalıştırılarak deponun güncel hali çekilir. state satırı ile ilgili reponun sisteme ekleneceği ya da kaldırılacağı belirlenir. present seçeneği ile reponun sisteme eklenmesi, absent seçeneği ile sistemden kaldırılması sağlanır. # Depo degiskenlerini iceren dosyadir. # istenilen kadar repo eklenebilir. base_repositories: repo1: url: 'deb yenikusak main' updatecache: yes state: present repo2: url: 'deb yenikusak main non-free contrib' updatecache: yes state: present 7

8 # repox: # url: # updatecache: # state: sudo.yml dosyası sudo yapılandırmasının belirtildiği dosyadır. sudo: fonksiyonu altındaki conf: bölümünde source satırında belirtilen ve /etc/ansible/roles/base/templates altında bulunan sudoers.j2 dosyasında bulunan ayarları sunucular üzerinde gerçekleştirir. destination satırında ayarların yapılacağı sudoers dosyası belirlenir. owner, group ve mode ile bu dosyanın sahibi olan kullanıcı, grup ve hakları belirlenir. iologdir satırı ile sudo loglarının hangi dizine yazılacağı belirtilir. sudo_privileges altında bulunan hostgroups ile hangi görevi üstelenen sunucularda, user ile hangi user için bu ayarların yapılacağı belirtilir. commands satırı ile ilgili gruba hangi komutlar için yetki verileceği belirtilmektedir. # Sudo degiskenlerini iceren dosyadir. sudo: conf: source: sudoers.j2 destination: /etc/sudoers owner: root group: root mode: 0440 validate: /usr/sbin/visudo -cf %s directory: path: /var/log/sudo-io state: directory owner: root group: root mode: 0700 iologdir: /var/log/sudo-io/%{hostname}/%{user} sudo_privileges: privilege01: hostgroups: all user: ahtapotops commands: ALL privilege02: hostgroups: testfirewall user: kontrol commands: ALL privilege03: hostgroups: firewall user: lkk commands: /usr/bin/tail * /var/log/, /usr/sbin/iptraf, /bin/zcat -f /var/log/ahtapot/fw/, /bin/cat /var/log/ahtapot/fw/, /usr/sbin/arp -an, /usr/sbin/iptstate, /usr/bin/bmon privilege04: hostgroups: gitlab user: git commands: /bin/rm -f /var/opt/gitlab/backups/*.tar, /usr/bin/ssh, /usr/bin/scp * "**blacklist.yml**" dosyası karaliste çekirdek modüllerini içeren dosyadır. "**name**" satırı 8

9 Karaliste cekirdek modullerini iceren dosyadir. karalisteye istenilen kadar cekirdek modulu eklenebilir. Usb belleklerin calismasi icin gerekli olan modul bu sekilde karalisteye eklenmektedir blacklists: conf: source: blacklist.conf.j2 destination: /etc/modprobe.d/blacklist.conf owner: root group: root mode: 0644 base_blacklist_modules: module01: name: usb_storage state: absent # modulexx: # name: # state: * **logger.yml** dosyası ile sistemlerin ayakta ve log gönderebilir olduğunun kontrolünün yapı Heartbeat yapilandirmasini belirtmektedir. logger: cron: source: logger.sh.j2 destination: /etc/cron.d/logger.sh owner: root group: root mode: 0755 min: 00 hour: * facility: local5 severity: info tag: heartbeat message: Heartbeat from $(hostname) at $(date)! * **ssh.yml** dosyası ile sistemlerde ssh tanım, yapılandırma ve sıkılaştırma işlemleri yapılı Ssh degiskenlerini iceren dosyadir. ssh: conf: source: sshd_config.j2 destination: /etc/ssh/sshd_config owner: root group: root mode: 0644 service: name: ssh state: started enabled: yes TrustedUserCAKeys: source: ahtapot_ca.pub.j2 destination: /etc/ssh/ahtapot_ca.pub owner: root group: root mode: 0644 RevokedKeys: source: revoked_keys.j2 destination: /etc/ssh/revoked_keys owner: root group: root mode: 0644 LocalBanner: source: issue.j2 destination: /etc/issue owner: root group: root mode: 0644 Remote- Banner: source: issue.net.j2 destination: /etc/issue.net owner: root group: root mode: 0644 Port: 22 Protocol: 2 ListenAddressv4: 9

10 ListenAddressv6: :: UsePrivilegeSeparation: yes KeyRegenerationInterval: 3600 ServerKeyBits: 1024 SyslogFacility: AUTH LogLevel: DEBUG LoginGraceTime: 90 PermitRootLogin: no StrictModes: yes RSAAuthentication: yes PubkeyAuthentication: yes IgnoreRhosts: yes RhostsRSAAuthentication: no HostbasedAuthentication: no IgnoreUser- KnownHosts: yes PermitEmptyPasswords: no ChallengeResponseAuthentication: no PasswordAuthentication: no KerberosAuthentication: no KerberosOrLocalPasswd: yes KerberosTicketCleanup: yes GSSAPIAuthentication: no GSSAPICleanupCredentials: yes X11Forwarding: no X11DisplayOffset: 10 PrintMotd: yes PrintLastLog: yes TCPKeepAlive: yes UsePAM: no UseLogin: no * **ntp.yml** dosyası sistemlerdeki ntp yapılandırmasının belirtildiği dosyadır. **conf** a Zaman sunucusu ayarlarini iceren dosyadir. istenilen kadar zaman sunucusu eklenebilir. ntp: conf: source: ntp.conf.j2 destination: /etc/ntp.conf owner: root group: root mode: 0644 service: name: ntp state: started enabled: yes base_ntp_servers: server1: fqdn: 0.tr.pool.ntp.org server2: fqdn: 1.tr.pool.ntp.org # serverx: # fqdn: * **grub.yml** dosyası ile sunucularda grub parolası belirlenir. **confile** ile dosya dizin Grub yapilandirmasini belirtmektedir. grub: confile: /boot/grub/grub.cfg grubuser: ahtagrub grubpass: grub.pbkdf2.sha a82b914c527c90a b88f c46131aef358d1cb81e604793f5dd973 grub_configurations: conf01: source: grub_01_users.j2 destination: /etc/grub.d/01_users owner: root group: root mode: 0755 conf02: source: grub_10_linux.j2 destination: /etc/grub.d/10_linux owner: root group: root mode: 0755 # confxx: # source: # destination: # owner: # group: # mode: * **audit.yml** dosyasında sunucularda audit yapılandırmasının yapılaması sağlanır. **conf** 10

11 Auditd degiskenlerini iceren dosyadir. audit: conf: source: auditd.conf.j2 destination: /etc/audit/auditd.conf owner: root group: root mode: 0644 service: name: auditd state: started enabled: yes rules: source: audit.rules.j2 destination: /etc/audit/audit.rules owner: root group: root mode: 0644 name: ahtapotops name_format: user log_file: /var/log/audit/audit.log log_format: RAW log_group: root max_log_file: 10 max_log_file_action: ROTATE num_logs: 5 priority_boost: 4 flush: INCREMENTAL freq: 20 disp_qos: lossy dispatcher: /sbin/audispd space_left: 2000 space_left_action: SYSLOG action_mail_acct: root admin_space_left: 1000 admin_space_left_action: SUSPEND disk_full_action: SUSPEND disk_error_action: SUSPEND tcp_listen_queue: 5 tcp_max_per_addr: 1 tcp_client_ports: tcp_client_max_idle: 0 enable_krb5: no krb5_principal: auditd krb5_key_file: /etc/audit/audit.key * **rsyslog.yml** dosyası ile sunucularda rsyslog yapılandırmasının yapılaması sağlanmaktadır Log sunucu ayarlarini iceren dosyadir. istenilen kadar log sunucusu eklenebilir. rsyslog: conf: source: rsyslog.conf.j2 destination: /etc/rsyslog.conf owner: root group: root mode: 0644 service: name: rsyslog state: started enabled: yes ActionQueueMaxDiskSpace: 2g ActionQueueSaveOnShutdown: on ActionQueueType: LinkedList ActionResumeRetryCount: -1 WorkDirectory: /var/spool/rsyslog IncludeConfig: /etc/rsyslog.d/* base_rsyslog_servers: server1: fqdn: rsyslog01.gdys.local port: 514 connectiontype: udp severity: local5 facility: * server2: fqdn: rsyslog02.gdys.local port: 514 connectiontype: tcp severity: * facility: info # serverx: # fqdn: # port: # connectiontype: # severity: # facility: * "**logrotate.yml**" dosyası logrotate değişkenlerini içeren dosyadır. "**logrotate_scripts** İstanildiği kadar logrotate scripti eklenebilir. 11

12 Logrotate degiskenlerini iceren dosyadir logrotate_scripts: script01: source: ahtapot_logrotate.j2 destination: /etc/logrotate.d/ahtapot owner: root group: root mode: 0644 # scriptxx: # source: # destination: # owner: # group: # mode: * "**directory.yml**" dosyası base rolünde olması gereken dizinleri içeren dosyadır."**base_aht Base rolunde olmasi gereken dizinleri iceren dosyadir. base_ahtapot_directories: directory01: path: /var/log/ahtapot/ owner: ahtapotops group: ahtapotops mode: 755 state: directory # directoryxx: # path: # owner: # group: # mode: # state: #### Ansible Rolü Değişkenleri Bu rol Ahtapot projesi kapsamındaki Ansible görevini üstlenecek sunucularda çalıştırılan Ansibl * Ansible sunucusu üzerinde bulunması gereken paketlerin kurulum ve denetimleri: git,ansible, python-requests, ahtapot-gkts, rsync * Ansible sunucusu yapılması gereken genel işlemler: * Ansible da çalışalıcak dizin ve alt dizinlerin oluşturulması * Merkezi Sürüm Takip Sistemi nde bulunan mys deposunun yerele indirilmesi * Güvenlik Duvarı Yönetim Sistemi nde bulunan gdys deposunun yerele indirilmesi Bu roldeki değişkenler **/etc/ansible/roles/ansible/vars/** dizini altında bulunan yml dosyal * **package.yml** dosyasına sistemler üzerine kurulacak paket değişkenlerini içeren dosyadır. Paket degiskenlerini iceren dosyadir. istenilen kadar paket eklenebilir. ansible_packages: package01: name: ansible=1.7.2+dfsg-2 state: present package02: name: git=1: deb8u2 state: present package03: name: python-requests= state: present package04: name: rsync=

13 state: present # packagexx: # name: # state: # packagexx: # name: # state: * **git.yml** dosyasında Ansible sunucusunda bulunacak git depolarının bilgileri girilmektedi Gitin degiskenlerini iceren dosyadir gitrepos: repo01: repo: ssh://git@gitlab01.gdys.local:4444/ahtapotops/gdys.git accept_hostkey: yes destination: /etc/fw/gdys key_file: /home/ahtapotops/.ssh/id_rsa repo02: repo: ssh://git@gitlab01.gdys.local:4444/ahtapotops/mys.git accept_hostkey: yes destination: /etc/ansible/ key_file: /home/ahtapotops/.ssh/id_rsa # repoxx: # repo: # accept_hostkey: # destination: # key_file: * **ansible.yml** fonksiyonu ile **/etc/ansible/roles/ansible/templates** dizini altında b Playbooklari oynatacak scriptlerin dosyalaridir. istenilen kadar script eklenebilir. scripts: script01: source: mys.sh.j2 destination: /usr/bin/mys.sh owner: root group: root mode: 0755 script02: source: gdys.sh.j2 destination: /usr/bin/gdys.sh owner: root group: root mode: 0755 script03: source: gkts.sh.j2 destination: /usr/bin/gkts.sh owner: root group: root mode: 0755 # scriptxx: # source: # destination: # owner: # group: # mode: * "**directory.yml**" dosyası Ansible suncusunda bulunacak dizinlerin belirlendiği dosyadır. " Dizinleri iceren dosyadir. directories: directory01: path: /etc/fw/ group: ahtapotops owner: ahtapotops mode: 750 state: directory # directoryxx: # path: # group: # owner: # mode: # state: * "**gkts.yml**" dosyası ansible sunucusunun gkts sunucusuna erişmesi için gerekli değişkenleri 13

14 Gkts nin degiskenlerini iceren dosyadir gkts: server: gkts01.gdys.local port: 22 logseverity: local5.notice #### Gitlab Ahtapot projesi kapsamında merkezde bulunacak ve sistemlerin ihtiyaç duyduğu dosyaları depoları $ more /etc/ansible/playbooks/gitlab.yml # Calistirildiginda Gitlab Kurulumu Yapilir - hosts: gitlab remote_user: ahtapotops sudo: yes vars_files: - /etc/ansible/roles/base/vars/group.yml - /etc/ansible/roles/base/vars/user.yml - /etc/ansible/roles/base/vars/repo.yml - /etc/ansible/roles/base/vars/rsyslog.yml - /etc/ansible/roles/base/vars/ntp.yml - /etc/ansible/roles/base/vars/package.yml - /etc/ansible/roles/base/vars/blacklist.yml - /etc/ansible/roles/base/vars/host.yml - /etc/ansible/roles/base/vars/audit.yml - /etc/ansible/roles/base/vars/sudo.yml - /etc/ansible/roles/base/vars/ssh.yml - /etc/ansible/roles/base/vars/grub.yml - /etc/ansible/roles/base/vars/logger.yml - /etc/ansible/roles/base/vars/logrotate.yml - /etc/ansible/roles/base/vars/directory.yml - /etc/ansible/roles/base/vars/profile.yml - /etc/ansible/roles/gitlab/vars/package.yml - /etc/ansible/roles/gitlab/vars/hook.yml roles: - { role: base } - { role: gitlab } #### Gitlab Rolü Değişkenleri Bu rol Ahtapot projesi kapsamındaki GitLab rolünü üstlenecek sunucularda ayarlamaların yapıldığ * GitLab sunucusu üzerinde bulunması gereken paketlerin kurulum ve denetimleri: git,gitlab-ce * GitLab sunucusu yapılması gereken genel işlemler: * git kullanıcısının yapılandırılması * GitLab SSL yapılandırması * GitLab SMTP yapılandırması * GitLab yedeklilik yapılandırması Bu roldeki değişkenler **/etc/ansible/roles/gitlab/vars/** dizini altındaki yml dosyalarında * **main.yml** dosyasının içeriği ve değişken bilgileri aşağıdaki gibidir; * **gitlab** fonksiyonunda sunucu üzerindeki git kullanıcısına parola atanmaktadır. Her ne kad GitLab in degiskenlerinin tutuldugu dosyadir. gitlab: # git kullanicisini yapilandirmasi belirtilmektedir. user: name: git password: jqcgy1gp$rvz8u3qryh3ucb.6msnwtoqv1qqyjyeatbbea0pa4aqnjotchjpdsm9caeuk1xvkov3m 14

15 * **conf** fonksiyonu ile **/etc/gitlab/gitlab.rb** dosyasına **/etc/ansible/roles/gitlab conf: source: gitlab.rb.j2 destination: /etc/gitlab/gitlab.rb owner: root group: root mode: 0640 * **ssl** fonksiyonu ile **/etc/gitlab/ssl** dosyasının hakları, erişim yetkileri belirleni ssl: directory: path: /etc/gitlab/ssl owner: root group: root mode: 700 state: directory recurse: yes * **ssl-crt** fonksiyonu ile **/etc/gitlab/ssl/gitlab_makine_ismi.crt** dosyasına **/etc/ ssl-crt: source: ssl-crt.j2 destination: /etc/gitlab/ssl/gitlab.gdys.local.crt owner: root group: root mode: 600 * **ssl-key** fonksiyonu ile **/etc/gitlab/ssl/gitlab_makine_ismi.key** dosyasına **/etc/ ssl-key: source: ssl-key.j2 destination: /etc/gitlab/gitlab_makine_ismi.key owner: root group: root mode: 600 * **external_url** fonksiyonu ile GitLab arayüzüne ulaşması istenilen URL adresi yazılır. **f external_url: firstrunpath: /var/opt/gitlab/bootstrapped * **gitlab_rails** fonksiyonu ile GitLab sunucusunun bilgilendirme ayarları yapılmaktadır. gitlab_rails: gitlab_ _enabled: true gitlab_ _from: gitlab@domain_adres gitlab_ _display_name: Gitlab gitlab_ _reply_to: no-reply@domain_adres gitlab_default_theme: 2 gitlab_shell_ssh_port: SSH_port smtp_enable: true smtp_address: smtp_adres smtp_port: 25 smtp_domain: domain_adres smtp_tls: false * **nginx** fonksiyonu ile GitLab arayüzüne erişim adres çubuğunda **http** ile istek yapıld nginx: enable: "true" redirect_http_to_https: "true" * "**backup**" fonkiyonu ile gitlab sunucusunun yedeğinin hangi sunucu üzerine alınacağı belirle backup: Server: gitlab02.gdys.local Port: 22 15

16 * "**ansible**" fonksiyonu altına ise ansible makinesinin fqdn ve ssh port bilgisi yazılmalıdır. ansible: Server: ansible01.gdys.local Port: 22 * **hook.yml** dosyası ile GitLab sunucusu üzerinde bulunan her bir deponun yedeğini alarak, y Hook scriptlerini iceren dosyadir. istenilen kadar dosya ve klasor eklenebilir. hook_directories: directory01: path: /var/opt/gitlab/git-data/repositories/ahtapotops/mys.git/custom_hook owner: git group: git state: directory mode: 755 directory02: path: /var/opt/gitlab/git-data/repositories/ahtapotops/gdys.git/custom_hooks/ owner: git group: git state: directory mode: 755 # directoryxx: # path: # owner: # group: # state: # mode: hook_scripts: script01: source: post-receive-mys.sh.j2 destination: /var/opt/gitlab/git-data/repositories/ahtapotops/mys.git/custom_hooks/postreceive owner: git group: git mode: 0770 script02: source: post-receivegdys.sh.j2 destination: /var/opt/gitlab/git-data/repositories/ahtapotops/gdys.git/custom_hooks/postreceive owner: git group: git mode: 0770 # scriptxx: # source: # destination: # owner: # group: # mode: * **package.yml** dosyasına sistemler üzerine kurulacak paket değişkenlerini içeren dosyadır. Paket degiskenlerini iceren dosyadir. istenilen kadar paket eklenebilir. gitlab_packages: package01: name: git=1: deb8u2 state: present package02: name: gitlab-ce=8.4.4-ce.0 state: present # packagexx: # name: # state: # packagexx: # name: # state: #### FirewallBuilder Ahtapot projesi kapsamında merkezde bulunacak ve güvenlik duvarlarının yönetilmesini sağlayacak 16

17 $ more /etc/ansible/playbooks/firewallbuilder.yml # Calistirildiginda FirewallBuilder Kurulumu Yapilir - hosts: firewallbuilder remote_user: ahtapotops sudo: yes vars_files: - /etc/ansible/roles/base/vars/group.yml - /etc/ansible/roles/base/vars/user.yml - /etc/ansible/roles/base/vars/repo.yml - /etc/ansible/roles/base/vars/rsyslog.yml - /etc/ansible/roles/base/vars/ntp.yml - /etc/ansible/roles/base/vars/package.yml - /etc/ansible/roles/base/vars/blacklist.yml - /etc/ansible/roles/base/vars/host.yml - /etc/ansible/roles/base/vars/audit.yml - /etc/ansible/roles/base/vars/sudo.yml - /etc/ansible/roles/base/vars/ssh.yml - /etc/ansible/roles/base/vars/grub.yml - /etc/ansible/roles/base/vars/logger.yml - /etc/ansible/roles/base/vars/logrotate.yml - /etc/ansible/roles/base/vars/directory.yml - /etc/ansible/roles/base/vars/profile.yml - /etc/ansible/roles/firewallbuilder/vars/package.yml - /etc/ansible/roles/firewallbuilder/vars/fwbuilder.yml - /etc/ansible/roles/firewallbuilder/vars/directory.yml - /etc/ansible/roles/firewallbuilder/vars/git.yml roles: - { role: base } - { role: firewallbuilder } #### FirewallBuilder Rolü Değişkenleri Bu rol Ahtapot projesi kapsamındaki FirewallBuilder rolünü üstlenecek sunucularda ayarlamaların * FirewallBuilder sunucusu üzerinde bulunması gereken paketlerin kurulum ve denetimleri: fwbuilder, git, python-qt4, python-requests, python-pexpect, xauth, ahtapot-gdys-gui * FirewallBuilder sunucusu yapılması gereken genel işlemler: * Onay mekanizmasını barındıran gdys-gui uygulamasının konumlandırılması ve yapılandırılma * Onay deposunun bulunduğu GitLab GDYS deposunun konumlandırılması ve yapılandırılması Bu roldeki değişkenler **/etc/ansible/roles/firewallbuilder/vars/** dizini altındaki yml dos * **package.yml** dosyasına sistemler üzerine kurulacak paket değişkenlerini içeren dosyadır. Paket degiskenlerini iceren dosyadir. istenilen kadar paket eklenebilir. firewallbuilder_packages: package01: name: fwbuilder= state: present package02: name: git=1: deb8u2 state: present package03: name: python-qt4= dfsg-1 state: present package04: name: python-requests= state: present package05: name: pythonpexpect=3.2-1 state: present package06: name: xauth=1: state: 17

18 present package07: name: ahtapot-gdys-gui= state: present # packagexx: # name: # state: # packagexx: # name: # state: * "**fwbuilder.yml**" dosyası içerisindeki **fix** fonksiyonu, FirewallBuilder tarafında olu Guvenlik Duvari Kurucusunun degiskenlerini iceren dosyadir. firewallbuilder: fix: source: reset_iptables destination: /usr/share/fwbuilder /configlets/linux24/reset_iptables group: root owner: root mode: 0644 force: yes bash: conf: source: fwbuilder-ahtapot.sh.j2 destination: /etc/profile.d/fwbuilder-ahtapot.sh owner: root group: root mode: 0755 * **directory.yml** dosyası içerisinde FirewallBuilder sunucusu üzerinde oluşturulacak dizinl Dizinleri iceren dosyadir. directories: directory01: path: /etc/fw/ group: ahtapotops owner: ahtapotops mode: 750 state: directory directory02: path: /home/ahtapotops/testfw/ group: ahtapotops owner: ahtapotops mode: 750 state: directory # directoryxx: # path: # group: # owner: # mode: # state: * **git.yml** dosyası içerisinde FirewallBuilder sunucusunda bulunacak git depolarının bilgi Git repolarini iceren dosyadir. gitrepos: repo01: repo: ssh://git@gitlab01.gdys.local:4444/ahtapotops/gdys.git accept_hostkey: yes destination: /etc/fw/gdys key_file: /home/ahtapotops/.ssh/id_rsa # repoxx: # repo: # accept_hostkey: # destination: # key_file: #### Rsyslog Ahtapot projesi kapsamında merkezde bulunacak ve logların gönderilerek tutulacağı sunucuları ol $ more /etc/ansible/playbooks/rsyslog.yml # Calistirildiginda Rsyslog Sunucu Kurulumu Yapilir - hosts: rsyslog remote_user: ahtapotops sudo: yes vars_files: - /etc/ansible/roles/base/vars/group.yml - /etc/ansible/roles/base/vars/user.yml - /etc/ansible/roles/base/vars/repo.yml - 18

19 /etc/ansible/roles/base/vars/rsyslog.yml - /etc/ansible/roles/base/vars/ntp.yml - /etc/ansible/roles/base/vars/package.yml - /etc/ansible/roles/base/vars/blacklist.yml - /etc/ansible/roles/base/vars/host.yml - /etc/ansible/roles/base/vars/audit.yml - /etc/ansible/roles/base/vars/sudo.yml - /etc/ansible/roles/base/vars/ssh.yml - /etc/ansible/roles/base/vars/grub.yml - /etc/ansible/roles/base/vars/logger.yml - /etc/ansible/roles/base/vars/logrotate.yml - /etc/ansible/roles/base/vars/directory.yml - /etc/ansible/roles/base/vars/profile.yml - /etc/ansible/roles/rsyslog/vars/package.yml - /etc/ansible/roles/rsyslog/vars/logrotate.yml - /etc/ansible/roles/rsyslog/vars/signer.yml - /etc/ansible/roles/rsyslog/vars/rsyslog.yml roles: - { role: base } - { role: rsyslog } #### Rsyslog Rolü Değişkenleri Bu rol Ahtapot projesi kapsamındaki Rsyslog rolünü üstlenecek sunucularda ayarlamaların yapıldı * Rsyslog sunucusu üzerinde bulunması gereken paketlerin kurulum ve denetimleri: rsyslog,logrotate * Rsyslog sunucusu yapılması gereken genel işlemler: * Rsyslog yapılandırılması * Logrotate yapılandırılması Bu roldeki değişkenler **/etc/ansible/roles/rsyslog/vars/** dizini altında bulunan yml dosyal * **package.yml** dosyasına sistemler üzerine kurulacak paket değişkenlerini içeren dosyadır. Paket degiskenlerini iceren dosyadir. istenilen kadar paket eklenebilir. rsyslog_packages: package01: name: rsyslog= deb8u2 state: present package02: name: logrotate= b1 state: present package03: name: rsync= state: present package04: name: openjdk-7-jre=7u ~deb8u1 state: present package05: name: zamaneconsole=1.0.1 state: present # packagexx: # name: # state: # packagexx: # name: # state: * **rsyslog.yml** dosyası içerisinde bu rolü üstelencek sunucu üzerindeki gerekli yapılandırm 19

20 Rsyslog un degiskenlerini iceren dosyadir rsyslog: conf: source: rsyslog.conf.j2 destination: /etc/rsyslog.conf owner: root group: root mode: 0644 service: name: rsyslog state: started enabled: yes WorkDirectory: /var/spool/rsyslog IncludeConfig: /etc/rsyslog.d/* RemoteLogDirectory: /data/log/%hostname%/%fromhostip%.log * **logrotate.yml** dosyası içerisinde bu rolü üstelencek sunucu üzerindeki gerekli yapılandı logrotate: Rsyslog yapilandirmasini belirtmektedir. conf: source: rsyslog.j2 destination: /etc/logrotate.d/rsyslog owner: root group: root mode: 644 Directory: "/data/log" * **signer.yml** fonksiyonunda 5651 log imzalama için gerekli script ve bilgiler bulunmaktadır Signer yapilandirmasini belirtmektedir. signer: conf: source: signer.bash.j2 destination: /opt/signer.bash owner: root group: root mode: 0750 directory: path: /data/log/5651 owner: root group: root mode: 750 state: directory username: tubitak password: tubitak signingdirectory: /data/log/5651/tmp signedlogs: /data/log/5651/signedlogs invalidlogs: /data/log/5651/invaledlogs serverfiles: squid0* command: /opt/zamaneconsole-2.0.5/zamaneconsole jar logs: /data/log #### TestFirewall Ahtapot projesi kapsamında merkezde bulunan güvenlik duvarı yönetim sistemine dahil olan ve giri $ more /etc/ansible/playbooks/testbuilder.yml # Calistirildiginda Test Guvenlik Duvari Kurulumu Yapilir - hosts: testfirewall remote_user: ahtapotops sudo: yes vars_files: - /etc/ansible/roles/base/vars/group.yml - /etc/ansible/roles/base/vars/user.yml - /etc/ansible/roles/base/vars/repo.yml - 20

21 /etc/ansible/roles/base/vars/rsyslog.yml - /etc/ansible/roles/base/vars/ntp.yml - /etc/ansible/roles/base/vars/package.yml - /etc/ansible/roles/base/vars/blacklist.yml - /etc/ansible/roles/base/vars/host.yml - /etc/ansible/roles/base/vars/audit.yml - /etc/ansible/roles/base/vars/sudo.yml - /etc/ansible/roles/base/vars/ssh.yml - /etc/ansible/roles/base/vars/grub.yml - /etc/ansible/roles/base/vars/logger.yml - /etc/ansible/roles/base/vars/logrotate.yml - /etc/ansible/roles/base/vars/directory.yml - /etc/ansible/roles/base/vars/profile.yml - /etc/ansible/roles/testfirewall/vars/group.yml - /etc/ansible/roles/testfirewall/vars/user.yml - /etc/ansible/roles/testfirewall/vars/package.yml - /etc/ansible/roles/testfirewall/vars/module.yml - /etc/ansible/roles/testfirewall/vars/sysctl.yml - /etc/ansible/roles/testfirewall/vars/directory.yml roles: - { role: base } - { role: testfirewall } #### TestFirewall Rolü Değişkenleri * "**group.yml**" dosyası içerisinde "**name**" satırında belirtildiği gibi kontrol isminde ve " Grup degiskenlerini iceren dosyadir. istenilen kadar grup eklenebilir. testfirewall_groups: group1: name: kontrol gid: 1020 state: present # groupx: # name: # gid: # state: * "**user.yml**" içerisinde "**uid**" takil kimlik bilgisine sahip kullanıcı TestFirewall sunuc Kullanici degiskenlerini iceren dosyadir. istenilen kadar kullanici eklenebilir. testfirewall_users: user1: name: kontrol uid: 1020 group: kontrol shell: /bin/bash state: present password: 6Q6I6.lT/$iGAJmNHkxMQy2qZAfJ9clPVFFbotTL8LUdkoQHenFqh # userx: # name: # group: # shell: # state: # password: * **package.yml** dosyasına sistemler üzerine kurulacak paket değişkenlerini içeren dosyadır. 21

22 Paket degiskenlerini iceren dosyadir. istenilen kadar paket eklenebilir. testfirewall_packages: package01: name: iptables= b1 state: present package02: name: iptables-persistent=1.0.3+deb8u1 state: present package03: name: rsync= state: present package04: name: keepalived=1: state: present package05: name: iptraf= state: present package06: name: ifenslave=2.6 state: present # packagexx: # name: # state: # packagexx: # name: # state: * **module.yml** dosyası **source** satırında belirtilen ve **/etc/ansible/roles/firewall Module degiskenlerini iceren dosyadir. istenilen kadar modul eklenebilir. modprobe: conf: source: modules.j2 destination: /etc/modules.conf owner: root group: root mode: 0644 testfirewall_modules: module01: name: nf_conntrack_broadcast state: present module02: name: nf_conntrack_ftp state: present module03: name: nf_conntrack_h323 state: present module04: name: nf_conntrack_irc state: present module05: name: nf_conntrack state: present module06: name: nf_conntrack_netlink state: present module07: name: nf_conntrack_netbios_ns state: present module08: name: nf_conntrack_proto_dccp state: present module09: name: nf_conntrack_pptp state: present module10: name: nf_conntrack_proto_gre state: present module11: name: nf_conntrack_proto_udplite state: present module12: name: nf_conntrack_proto_sctp state: present module13: name: xt_conntrack state: present # modulexx: # name: # state: # modulexx: # name: # state: * **sysctl.yml** dosyası **source** satırında belirtilen ve **/etc/ansible/roles/testfire 22

23 Guvenlik duvari isletim sistemi bazinda hardening parametreleri belirtilmektedir. sysctl: conf: source: sysctl.conf.j2 destination: /etc/sysctl.conf owner: root group: root mode: 0644 ip_conntrack_max: nf_conntrack_max: nf_conntrack_tcp_timeout_established: 600 ip_conntrack_tcp_timeout_established: 600 nf_conntrack_tcp_timeout_time_wait: 90 ip_conntrack_tcp_timeout_time_wait: 90 ip_local_port_range_start: ip_local_port_range_end: icmp_ignore_bougs_error_responses: 1 icmp_echo_ignore_broadcasts: 1 log_martians: 1 tcp_ecn: 1 tcp_syncookies: 1 tcp_abort_on_overflow: 1 tcp_tw_recycle: 0 tcp_tw_reuse: 1 tcp_window_scaling: 1 tcp_timestamps: 0 tcp_sack: 1 tcp_dsack: 1 tcp_fack: 1 tcp_keepalive_time: 1200 tcp_fin_timeout: 20 tcp_retries1: 3 tcp_syn_retries: 3 tcp_synack_retries: 2 tcp_max_syn_backlog: 4096 rp_filter: 0 accept_source_route: 1 accept_source_route_ipv6: 0 bootp_relay: 1 ip_forward: 1 secure_redirects: 1 send_redirects: 1 proxy_arp: 1 * "**directory.yml**" dosyası TestFirewall sunucusunda olması gereken dizinleri içeren dosyadır Dizinleri iceren dosyadir. testfirewall_directories: directory01: path: /var/log/ahtapot/fw group: ahtapotops owner: ahtapotops mode: 755 state: directory # directoryxx: # path: # group: # owner: # mode: # state: #### Firewall Ahtapot projesi kapsamında merkezde bulunan güvenlik duvarı sunucusunun kurulumunu sağlayan pla $ more /etc/ansible/playbooks/firewall.yml # Calistirildiginda Guvenlik Duvari Kurulumu Yapilir - hosts: firewall remote_user: ahtapotops sudo: yes vars_files: - /etc/ansible/roles/base/vars/group.yml - /etc/ansible/roles/base/vars/user.yml - /etc/ansible/roles/base/vars/repo.yml - /etc/ansible/roles/base/vars/rsyslog.yml - /etc/ansible/roles/base/vars/ntp.yml - /etc/ansible/roles/base/vars/package.yml - /etc/ansible/roles/base/vars/blacklist.yml - /etc/ansible/roles/base/vars/host.yml - /etc/ansible/roles/base/vars/audit.yml - /etc/ansible/roles/base/vars/sudo.yml - /etc/ansible/roles/base/vars/ssh.yml - /etc/ansible/roles/base/vars/grub.yml - /etc/ansible/roles/base/vars/logger.yml - /etc/ansible/roles/base/vars/logrotate.yml - /etc/ansible/roles/base/vars/profile.yml 23

24 - /etc/ansible/roles/base/vars/directory.yml - /etc/ansible/roles/firewall/vars/group.yml - /etc/ansible/roles/firewall/vars/user.yml - /etc/ansible/roles/firewall/vars/package.yml - /etc/ansible/roles/firewall/vars/module.yml - /etc/ansible/roles/firewall/vars/sysctl.yml - /etc/ansible/roles/firewall/vars/iptables.yml - /etc/ansible/roles/firewall/vars/contrackd.yml - /etc/ansible/roles/firewall/vars/profile.yml - /etc/ansible/roles/firewall/vars/directory.yml roles: - { role: base } - { role: firewall } #### Firewall Rolü Değişkenleri Bu rol Ahtapot projesi kapsamındaki Firewall rolünü üstlenecek sunucularda ayarlamaların yapıld * Firewall sunucusu üzerinde bulunması gereken paketlerin kurulum ve denetimleri: iptables,iptables-persistent,rsync,keepalived,iptraf,ifenslave * Firewall sunucusu yapılması gereken genel işlemler: * Limitli Kullanıcı Konsol yapılandırması * Kuralların barındığı git deposunun tanımlanması * modprobe yapılandırılması * sysctl yapılandırılması * Güvenlik duvarı sıkılaştırmaları Bu roldeki değişkenler **/etc/ansible/roles/firewall/vars/** dizini altında yml dosyları içer * "**group.yml**" dosyası içerisinde "**gid**" bilgisine sahip, limitli kullanıcı konsolu için g Grup degiskenlerini iceren dosyadir. istenilen kadar grup eklenebilir. user_groups: group1: name: lkk gid: 1010 state: present # groupx: # name: # gid: # state: * "**user.yml**" içerisinde "**uid**" takil kimlik bilgisine sahip kullanıcı Firewall sunucusun 24

25 Kullanici degiskenlerini iceren dosyadir. istenilen kadar kullanici eklenebilir. firewall_users: user1: name: lkk uid: 1010 group: lkk shell: /bin/bash state: present password: 6dLiZAJhE$4319ZGktWgTmK8gPTyHcoI09AyVRPdE1asy5FNB2hzWBnAymB61 # userx: # name: # group: # shell: # state: # password: * **package.yml** dosyasına sistemler üzerine kurulacak paket değişkenlerini içeren dosyadır. Paket degiskenlerini iceren dosyadir. istenilen kadar paket eklenebilir. firewall_packages: package01: name: iptables= b1 state: present package02: name: iptables-persistent=1.0.3+deb8u1 state: present package03: name: rsync= state: present package04: name: keepalived=1: state: present package05: name: iptraf= state: present package06: name: ifenslave=2.6 state: present package07: name: conntrackd=1: deb8u1 state: present package08: name: atop= state: present package09: name: mtr-tiny= state: present package10: name: iptstate= state: present package11: name: bmon=1:3.5-1 state: present package12: name: ahtapot-lkk=1.1.5 state: present # packagexx: # name: # state: # packagexx: # name: # state: * **iptables.yml** doyasında "**service**" fonksiyonu içerisinde ipv4 ve ipv6 için sırasıyla / Iptables yapilandirmasini iceren dosyadir. iptables: service: v4conf: /etc/iptables/rules.v4 v6conf: /etc/iptables/rules.v6 deploy: repopath: /etc/fw/gdys filepath: /etc/fw/gdys/files rsync_opts: force dest_port: 4444 recursive: yes * **module.yml** dosyası **source** satırında belirtilen ve **/etc/ansible/roles/firewall 25

26 Module degiskenlerini iceren dosyadir. istenilen kadar modul eklenebilir. modprobe: conf: source: modules.j2 destination: /etc/modules.conf owner: root group: root mode: 0644 firewall_modules: module01: name: nf_conntrack_broadcast state: present module02: name: nf_conntrack_ftp state: present module03: name: nf_conntrack_h323 state: present module04: name: nf_conntrack_irc state: present module05: name: nf_conntrack state: present module06: name: nf_conntrack_netlink state: present module07: name: nf_conntrack_netbios_ns state: present module08: name: nf_conntrack_proto_dccp state: present module09: name: nf_conntrack_pptp state: present module10: name: nf_conntrack_proto_gre state: present module11: name: nf_conntrack_proto_udplite state: present module12: name: nf_conntrack_proto_sctp state: present ontrackd module13: name: xt_conntrack state: present # modulexx: # name: # state: # modulexx: # name: # state: * **sysctl.yml** dosyası **source** satırında belirtilen ve **/etc/ansible/roles/firewall Guvenlik duvari isletim sistemi bazinda hardening parametreleri belirtilmektedir. sysctl: conf: source: sysctl.conf.j2 destination: /etc/sysctl.conf owner: root group: root mode: 0644 ip_conntrack_max: nf_conntrack_max: nf_conntrack_tcp_timeout_established: 600 ip_conntrack_tcp_timeout_established: 600 nf_conntrack_tcp_timeout_time_wait: 90 ip_conntrack_tcp_timeout_time_wait: 90 ip_local_port_range_start: ip_local_port_range_end: icmp_ignore_bougs_error_responses: 1 icmp_echo_ignore_broadcasts: 1 log_martians: 1 tcp_ecn: 1 tcp_syncookies: 1 tcp_abort_on_overflow: 1 tcp_tw_recycle: 0 tcp_tw_reuse: 1 tcp_window_scaling: 1 tcp_timestamps: 0 tcp_sack: 1 tcp_dsack: 1 tcp_fack: 1 tcp_keepalive_time: 1200 tcp_fin_timeout: 20 tcp_retries1: 3 tcp_syn_retries: 3 tcp_synack_retries: 2 tcp_max_syn_backlog: 4096 rp_filter: 0 accept_source_route: 1 accept_source_route_ipv6: 0 bootp_relay: 1 ip_forward: 1 secure_redirects: 1 send_redirects: 1 proxy_arp: 1 26

27 * "**contrackd.yml**" dosyası **source** satırında belirtilen ve **/etc/ansible/roles/firew Contrackd yapilandirmasini iceren dosyadir. conntrackd: script: source: primary-backup.sh.j2 destination: /etc/conntrackd/primarybackup.sh owner: root group: root mode: 755 * "**directory.yml**" dosyası Firewall sunucusunda olması gereken dizinleri içeren dosyadır."** Dizinleri iceren dosyadir. firewall_directories: directory01: path: /var/log/ahtapot/fw group: ahtapotops owner: ahtapotops mode: 755 state: directory directory02: path: /etc/fw group: ahtapotops owner: ahtapotops mode: 750 state: directory directory03: path: /etc/fw/gdys group: ahtapotops owner: ahtapotops mode: 750 state: directory # directoryxx: # path: # group: # owner: # mode: # state: #### Maintenance Ahtapot projesi kapsamında Ansible tarafından yönetilen tüm sunucularda bakım işlemlerinin yapı $ more /etc/ansible/playbooks/maintenance.yml # Bakim scripti - hosts: all remote_user: ahtapotops sudo: yes roles: - { role: maintenance } ####Maintenance Rolü Değişkenleri Bu rol Ahtapot projesi kapsamındaki tüm sunucularda bakım işlemlerinin yapıldığı roldür. Bu rol * Tüm sistemlerde loglar ile ilgili yapılması gereken bakım işlemleri: Bu roldeki değişkenler **/etc/ansible/roles/maintenance/vars/main.yml** dosyasında belirtilm * **script** fonksiyonunda **source** satırında belirtilen ve **/etc/ansible/roles/mainte script: source: ahtapot-pybekci.py.j2 destination: /var/opt/ahtapot-pybekci.py owner: ahtapotops 27

28 group: ahtapotops mode: 660 * **maintainer** fonksiyonunda belirlenen süreden daha eski loglar **/var/log/bekciarchive** maintainer: directory: path: /var/log/bekciarchive/ owner: ahtapotops group: ahtapotops mode: 700 state: directory recurse: yes ####State Ahtapot projesi kapsamında Ansible tarafından yönetilen tüm makinelerin durum kontrolünü yapan p $ more /etc/ansible/playbooks/state.yml # Sistem stabilitesini tutacak olan ansible dosyasi - hosts: all remote_user: ahtapotops sudo: yes vars_files: - /etc/ansible/roles/base/vars/group.yml - /etc/ansible/roles/base/vars/user.yml - /etc/ansible/roles/base/vars/repo.yml - /etc/ansible/roles/base/vars/rsyslog.yml - /etc/ansible/roles/base/vars/ntp.yml - /etc/ansible/roles/base/vars/package.yml - /etc/ansible/roles/base/vars/blacklist.yml - /etc/ansible/roles/base/vars/host.yml - /etc/ansible/roles/base/vars/audit.yml - /etc/ansible/roles/base/vars/sudo.yml - /etc/ansible/roles/base/vars/ssh.yml - /etc/ansible/roles/base/vars/grub.yml - /etc/ansible/roles/base/vars/profile.yml - /etc/ansible/roles/base/vars/logger.yml - /etc/ansible/roles/base/vars/logrotate.yml - /etc/ansible/roles/base/vars/directory.yml roles: - { role: base } hosts: ansible remote_user: ahtapotops sudo: yes vars_files: /etc/ansible/roles/ansible/vars/package.yml /etc/ansible/roles/ansible/vars/ansible.yml /etc/ansible/roles/ansible/vars/directory.yml /etc/ansible/roles/ansible/vars/git.yml /etc/ansible/roles/ansible/vars/gkts.yml roles: { role: ansible } hosts: gitlab remote_user: ahtapotops sudo: yes vars_files: /etc/ansible/roles/gitlab/vars/package.yml /etc/ansible/roles/gitlab/vars/hook.yml roles: 28

29 { role: gitlab } hosts: firewallbuilder remote_user: ahtapotops sudo: yes vars_files: /etc/ansible/roles/firewallbuilder/vars/package.yml /etc/ansible/roles/firewallbuilder/vars/fwbuilder.yml /etc/ansible/roles/firewallbuilder/vars/directory.yml /etc/ansible/roles/firewallbuilder/vars/git.yml roles: { role: firewallbuilder } hosts: rsyslog remote_user: ahtapotops sudo: yes vars_files: /etc/ansible/roles/rsyslog/vars/package.yml /etc/ansible/roles/rsyslog/vars/logrotate.yml /etc/ansible/roles/rsyslog/vars/signer.yml /etc/ansible/roles/rsyslog/vars/rsyslog.yml roles: { role: rsyslog } hosts: pwlm remote_user: ahtapotops sudo: yes vars_files: /etc/ansible/roles/pwlm/vars/package.yml /etc/ansible/roles/pwlm/vars/uwsgi.yml /etc/ansible/roles/pwlm/vars/pwlm.yml /etc/ansible/roles/pwlm/vars/git.yml roles: { role: pwlm } hosts: gkts remote_user: ahtapotops sudo: yes vars_files: /etc/ansible/roles/gkts/vars/package.yml /etc/ansible/roles/gkts/vars/gkts.yml /etc/ansible/roles/gkts/vars/nginx.yml /etc/ansible/roles/gkts/vars/uwsgi.yml roles: { role: gkts } hosts: testfirewall remote_user: ahtapotops sudo: yes vars_files: /etc/ansible/roles/testfirewall/vars/group.yml /etc/ansible/roles/testfirewall/vars/user.yml /etc/ansible/roles/testfirewall/vars/package.yml /etc/ansible/roles/testfirewall/vars/module.yml /etc/ansible/roles/testfirewall/vars/sysctl.yml 29

30 /etc/ansible/roles/testfirewall/vars/directory.yml roles: { role: testfirewall } hosts: firewall:firewall-proxy-dhcp:firewall-openvpn remote_user: ahtapotops sudo: yes vars_files: /etc/ansible/roles/firewall/vars/group.yml /etc/ansible/roles/firewall/vars/user.yml /etc/ansible/roles/firewall/vars/package.yml /etc/ansible/roles/firewall/vars/module.yml /etc/ansible/roles/firewall/vars/sysctl.yml /etc/ansible/roles/firewall/vars/iptables.yml /etc/ansible/roles/firewall/vars/directory.yml /etc/ansible/roles/firewall/vars/contrackd.yml /etc/ansible/roles/firewall/vars/profile.yml roles: { role: firewall } hosts: proxy:proxy-dhcp:firewall-proxy-dhcp remote_user: ahtapotops sudo: yes vars_files: /etc/ansible/roles/squid/vars/package.yml /etc/ansible/roles/squid/vars/squid.yml /etc/ansible/roles/squid/vars/dansguardian.yml /etc/ansible/roles/squid/vars/updshalla.yml /etc/ansible/roles/squid/vars/zeustracker.yml /etc/ansible/roles/squid/vars/sarg.yml /etc/ansible/roles/squid/vars/nginx.yml roles: { role: squid } hosts: dhcp:proxy-dhcp:firewall-proxy-dhcp remote_user: ahtapotops sudo: yes vars_files: /etc/ansible/roles/dhcpd/vars/package.yml /etc/ansible/roles/dhcpd/vars/dhcpd.yml roles: { role: dhcpd } hosts: openvpn:firewall-openvpn remote_user: ahtapotops sudo: yes vars_files: /etc/ansible/roles/openvpn/vars/package.yml 30

31 /etc/ansible/roles/openvpn/vars/openvpn.yml /etc/ansible/roles/openvpn/vars/sysctl.yml roles: { role: openvpn } Kullanıcı ve Grup Değiştirme (Daha sonra düzenlenecek) Bu dokümanda, Ahtapot sistemindeki altyapıyı yöneten kullanıcı ve grubunu değiştirmek için yapılması gerekenler anlatılıyor. Sunucularda Yeni Kullanıcı ve Grup Oluşturma Sunuculara yeni kullanıcı ve grup oluşturmak için, Ansible makinesine bağlantı sağlanarak /etc/ansible klasörüne gidilir. $ cd /etc/ansible İlgili klasör altında bulunan base rolünün dizininden presentgroup ve presentuser değerlerine yeni kullanıcı adı ve grup adı verilir. Dosya içerisinde ilgili parametreye karşılık gelen tüm satırlar aynı şekilde değiştirilir. $ sudo vi roles/base/vars/main.yml presentgroup: yeni_grup_adı presentuser: yeni_kullanıcı_adı Gerekli değişiklikler yapıldıktan sonra, değişikliğin yapılacağı tüm sunucular üzerinde playbook oynaması beklenir. AHTAPOT GDYS Kullanım dokümanı takip edilerek daha önceden crontabta çalışması ayarlanmış olan playbookların oynama periyotları doğrultusunda tüm sistemlerde değişiklik otomatik olarak yapılacaktır. NOT : Tüm sunucularda ilgili playbookun oynatıldığından emin olmadan bir sonraki adıma geçmeyiniz. Rollerdeki Kullanıcı ve Grup Yapılandırması (Daha sonra düzenlenecek) İlk işlemi başarılı bir şekilde yaptıktan sonra eski kullanıcı ve grubun hardcoded yazılmış olduğu yerleri yeni kullanıcı ile değiştiriyoruz. Gitlab sunucusuna bağlantıda kullanılan anahtar dosyasının yeri yeni kullanıcı için oluşturulmuş anahtar dosyasının yeri ile değiştirilir. Dosya içerisinde ilgili parametreye karşılık gelen tüm satırlar aynı şekilde değiştirilir. $ sudo vi /etc/ansible/roles/ansible/vars/main.yml keyfile:/home/yeni_kullanıcı/.ssh/id_rsa 31

32 Base role içerisinde tanımlanmış olan sudoers ve audit konfigurasyonunda kullanılan değişkenler için ilgili satırlar değiştirilir. Dosya içerisinde ilgili parametreye karşılık gelen tüm satırlar aynı şekilde değiştirilir. $ sudo vi /etc/ansible/roles/base/vars/main.yml newgroup:yeni_grup_adı name:** yeni_kullanıcı_adı** Firewallbuilder rolü içerisinde, dosyaların haklarını düzenlemek ve gitlab sunucusuna parolasız erişim için kullanılan anahtar ile test güvenlik duvarında kuralların kopyalanacağı dizin belirtilir. Dosya içerisinde ilgili parametreye karşılık gelen tüm satırlar aynı şekilde değiştirilir. $ sudo vi /etc/ansible/roles/firewallbuilders/vars/main.yml ownergroup:yeni_grup_adı owneruser:yeni_kullanıcı_adı testpath:/home/yeni_kullanıcı_adı/testfw keyfile:/home/yeni_kullanıcı_adı/.ssh/id_rsa Gerekli değişiklikler yapıldıktan sonra, değişikliğin yapılacağı tüm sunucular üzerinde playbook oynaması beklenir. AHTAPOT GDYS Kullanım dokümanı takip edilerek daha önceden crontabta çalışması ayarlanmış olan playbookların oynama periyotları doğrultusunda tüm sistemlerde değişiklik otomatik olarak yapılacaktır. NOT: Tüm sunucularda ilgili playbookun oynatıldığından emin olmadan bir sonraki adıma geçmeyiniz. Playbooklarda Çalışan Kullanıcının Değiştirilmesi İlk iki işlemi başarılı bir şekilde yaptıktan sonra ansible makinesinin başarılı olarak bağlanabilmesi için playbooklarda tanımlı remote_user a yeni geçerli kullanıcı adının girilmesi gerekmektedir. Aşağıda belirtilen tüm vi komutları sırası ile çalıştırılarak remote_user: satırındaki ahtapotops kullanıcısı yerine yeni oluşturulan kullanıcı bilgisi yazılır. $ sudo vi /etc/ansible/playbooks/ansible.yml $ sudo vi /etc/ansible/playbooks/firewall.yml $ sudo vi /etc/ansible/playbooks/firewallbuilder.yml $ sudo vi /etc/ansible/playbooks/gitlab.yml $ sudo vi /etc/ansible/playbooks/testbuilder.yml $ sudo vi /etc/ansible/playbooks/deploy.yml $ sudo vi /etc/ansible/playbooks/state.yml remote_user: yeni_kullanıcı_adı Gerekli değişiklikler yapıldıktan sonra, değişikliğin yapılacağı tüm sunucular üzerinde playbook oynaması beklenir. AHTAPOT GDYS Kullanım 32