Hinweis

Dieses Plugin ist Teil des community.crypto Sammlung (Version 1.4.0).

Um es zu installieren, verwenden Sie: ansible-galaxy collection install community.crypto.

Um es in einem Playbook zu verwenden, geben Sie an: community.crypto.openssl_dhparam.

  • Synopsis
  • Anforderungen
  • Parameter
  • Hinweise
  • Siehe auch
  • Beispiele
  • Rückgabewerte

Synopse

  • Mit diesem Modul kann man OpenSSL DH-Params (neu) generieren.
  • Dieses Modul verwendet allgemeine Dateiargumente, um generierte Dateiberechtigungen anzugeben.
  • Bitte beachten Sie, dass das Modul bestehende DH-Params neu generiert, wenn sie nicht mit den Optionen des Moduls übereinstimmen. Wenn Sie befürchten, dass dadurch Ihre bestehenden DH-Parameter überschrieben werden könnten, sollten Sie die Option Backup Option.
  • Das Modul kann die Kryptographie-Python-Bibliothek oder die openssl ausführbare Datei verwenden. Standardmäßig versucht es zu erkennen, welche davon verfügbar ist. Dies kann mit der Option select_crypto_backend Option überschrieben werden.

Anforderungen

Die folgenden Anforderungen werden auf dem Host benötigt, der dieses Modul ausführt.

  • Entweder Kryptographie >= 2.0
  • Oder OpenSSL-Binary openssl

Parameter

Parameter Wahlmöglichkeiten/Vorgaben Kommentare
EigenschaftenZeichenfolge hinzugefügt in 2.3 von ansible.builtin Die Attribute, die die resultierende Datei oder das resultierende Verzeichnis haben soll; die unterstützten Flags finden Sie in der Manpage für chattr Diese Zeichenkette sollte die Attribute in der gleichen Reihenfolge enthalten wie die, die durch lsattr Die = Operator wird als Standard angenommen, ansonsten + oder - Operatoren in der Zeichenkette enthalten sein müssen.
alias: attr
Sicherungboolesch
    Auswahlmöglichkeiten:

  • keine
  • ja
Erstellen Sie eine Sicherungsdatei mit einem Zeitstempel, damit Sie die ursprünglichen DH-Parameter wiederherstellen können, wenn Sie sie versehentlich mit neuen überschrieben haben.
erzwingenboolesch
    Wahlmöglichkeiten:

  • keine
  • ja
Soll der Parameter neu generiert werden, auch wenn er bereits vorhanden ist.
GruppeString Name der Gruppe, die Eigentümerin der Datei/des Verzeichnisses sein soll, wie in chown.
Modusroh Die Berechtigungen, die die resultierende Datei oder das Verzeichnis haben soll. /usr/bin/chmod gewohnt sind, sei daran erinnert, dass Modi eigentlich Oktalzahlen sind. Sie müssen entweder eine führende Null hinzufügen, damit der YAML-Parser von Ansible weiß, dass es sich um eine oktale Zahl handelt (wie 0644 oder 01777) oder sie in Anführungszeichen setzen (wie '644' oder '1777'Wenn man Ansible eine Zahl gibt, ohne eine dieser Regeln zu befolgen, erhält man eine Dezimalzahl, die zu unerwarteten Ergebnissen führt. Seit Ansible 1.8 kann der Modus als symbolischer Modus angegeben werden (zum Beispiel, u+rwx oder u=rw,g=r,o=r).Wenn mode nicht angegeben wird und die Zieldatei nicht existiert, wird die Standard umask auf dem System verwendet, wenn der Modus für die neu erstellte Datei festgelegt wird. mode nicht angegeben wird und die Zieldatei die Datei existiert, wird der Modus der vorhandenen Datei verwendet. mode ist der beste Weg, um sicherzustellen, dass Dateien mit den richtigen Berechtigungen erstellt werden. Siehe CVE-2020-1736 für weitere Details.
EigentümerZeichenfolge Name des Benutzers, der Eigentümer der Datei/des Verzeichnisses sein soll, wie er in chown.
PfadPfad / erforderlich Name der Datei, in der die generierten Parameter gespeichert werden sollen.
Rückgabe_Inhaltboolean hinzugefügt in 1.0.0 von community.crypto
    Wahlmöglichkeiten:

  • keine
  • ja
Wenn eingestellt auf yesgesetzt ist, wird der (aktuelle oder generierte) Inhalt von DH params zurückgegeben als dhparams.
select_crypto_backendZeichenfolge hinzugefügt in 1.0.0 von community.crypto
    Wahlmöglichkeiten:

  • auto
  • Kryptographie
  • openssl
Legt fest, welches Krypto-Backend verwendet werden soll; die Standardauswahl ist autodie versucht zu verwenden cryptography zu verwenden, falls verfügbar, und fällt zurück auf opensslWenn sie auf opensslgesetzt, wird versucht, die OpenSSL openssl Wenn sie auf cryptographygesetzt, wird versucht, die Kryptographie Bibliothek.
selevelZeichenfolge Der Level-Teil des SELinux-Dateikontextes ist das MLS/MCS-Attribut, das manchmal auch als "selevel" bezeichnet wird. rangeWenn es auf _defaultgesetzt, wird es das level Teil der Richtlinie, falls vorhanden.
seroleZeichenfolge Der Rollenteil des SELinux-Dateikontextes, wenn er auf _defaultgesetzt, wird die role Teil der Richtlinie, falls vorhanden.
setypeZeichenfolge Der Typ-Teil des SELinux-Dateikontextes; wenn er auf _defaulteingestellt ist, wird er die type Teil der Richtlinie, falls vorhanden.
seuserZeichenfolge Der Benutzerteil des SELinux-Dateikontextes, der standardmäßig die Zeichenfolge system Richtlinie, wo anwendbar, und wenn auf _defaultgesetzt, wird die user Teil der Richtlinie, falls vorhanden.
GrößeGanzzahl Voreinstellung:
4096
Größe (in Bits) der erzeugten DH-Params.
ZustandZeichenkette
    Auswahlmöglichkeiten:

  • abwesend
  • vorhanden
Ob die Parameter vorhanden sein sollen oder nicht, wobei Maßnahmen ergriffen werden, wenn der Zustand von den Angaben abweicht.
unsafe_writesboolean hinzugefügt in 2.2 von ansible.builtin
    Auswahlmöglichkeiten:

  • keine
  • ja
Standardmäßig verwendet dieses Modul atomare Operationen, um Datenverfälschungen oder inkonsistente Lesevorgänge aus den Zieldateien zu verhindern, aber manchmal sind Systeme so konfiguriert oder einfach defekt, dass dies nicht möglich ist. Diese Option ermöglicht es Ansible, auf unsichere Methoden zur Aktualisierung von Dateien zurückzugreifen, wenn atomare Operationen fehlschlagen (sie zwingt Ansible jedoch nicht dazu, unsichere Schreibvorgänge durchzuführen). Unsichere Schreibvorgänge unterliegen Race Conditions und können zu Datenbeschädigungen führen.

Hinweise

Hinweis

  • Unterstützt check_mode.

Siehe auch

Siehe auch

community.crypto.x509_certificate

Die offizielle Dokumentation zum community.crypto.x509_certificate Modul.

community.crypto.openssl_csr

Die offizielle Dokumentation über das community.crypto.openssl_csr Modul.

community.crypto.openssl_pkcs12

Die offizielle Dokumentation über das community.crypto.openssl_pkcs12 Modul.

community.crypto.openssl_privatekey

Die offizielle Dokumentation über das community.crypto.openssl_privatekey Modul.

community.crypto.openssl_publickey

Die offizielle Dokumentation über das community.crypto.openssl_publickey Modul.

Beispiele

-name: Generate Diffie-Hellman parameters with the default size (4096 bits)
  community.crypto.openssl_dhparam:path: /etc/ssl/dhparams.pem

-name: Generate DH Parameters with a different size (2048 bits)
  community.crypto.openssl_dhparam:path: /etc/ssl/dhparams.pem
    size:2048-name: Force regenerate an DH parameters if they already exist
  community.crypto.openssl_dhparam:path: /etc/ssl/dhparams.pem
    force: yes

Rückgabewerte

Allgemeine Rückgabewerte sind dokumentiert hier Die folgenden Felder sind einzigartig für dieses Modul:

Schlüssel Zurückgegeben Beschreibung
backup_fileZeichenkette geändert und wenn Sicherung ist yes Name der erstellten Sicherungsdatei.
Beispiel:/pfad/nach/[email protected]:22~
dhparamsZeichenkette hinzugefügt in 1.0.0 von community.crypto wenn Zustand ist. present und Rückgabe_Inhalt ist yes Der (aktuelle oder generierte) Inhalt von DH params.
DateinameZeichenkette geändert oder Erfolg Pfad zu den generierten Diffie-Hellman-Parametern.
Beispiel:/etc/ssl/dhparams.pem
Größe:Ganzzahl geändert oder Erfolg Größe (in Bits) der Diffie-Hellman-Parameter.
Beispiel: 4096

Autoren:

  • Thom Wiggers (@thomwiggers)