Wazuh-ansible: 구성 설정의 선택 부분을 재정의하는 더 쉬운 방법 필요

에 만든 2018년 12월 12일 · 5코멘트 · 출처: wazuh/wazuh-ansible

_wazuh_manager_config_ 해시가 재구성되거나 더 작은 설정 덩어리를 더 쉽게 재정의할 수 있도록 코드가 수정된 경우 이상적입니다.

wazuh_manager_config:
  active_responses:
    - command: host-deny
      level: 6
      location: local
      timeout: 600
    - command: restart-ossec
      location: local
      rules_id: '100002'
    - command: win_restart-ossec
      location: local
      rules_id: '100003'
  alerts_log: 'yes'
  api:
    basic_auth: 'yes'
    behind_proxy_server: 'no'
    bind_addr: 0.0.0.0
    ciphers: ''
    drop_privileges: 'true'
    experimental_features: 'false'
    honor_cipher_order: 'true'
    https: 'no'
    https_ca: ''
    https_cert: /var/ossec/etc/sslmanager.cert
    https_key: /var/ossec/etc/sslmanager.key
    https_use_ca: 'no'
    port: 55000
    secure_protocol: TLSv1_2_method
    use_only_authd: 'false'
  authd:
    enable: true
    force_insert: 'yes'
    force_time: 0
    port: 1515
    purge: 'no'
    ssl_agent_ca: null
    ssl_auto_negotiate: 'no'
    ssl_manager_cert: /var/ossec/etc/sslmanager.cert
    ssl_manager_key: /var/ossec/etc/sslmanager.key
    ssl_verify_host: 'no'
    use_password: 'no'
    use_source_ip: 'yes'

...etc. etc. etc.

그 이유는 이 구성의 개별 부분(예: 클러스터 설정)을 재정의하는 것이 쉽지 않기 때문입니다. 전부 아니면 전무입니다.
다시 말해, _group_vars/wazuh_managers.yml_에 정의된 이러한 변수 중 _대부분의_를 갖고 _host_vars/manager01.yml_과 같은 것을 사용하여 몇 가지 설정을 재정의하려는 경우 작업을 수정하지 않고는 쉽게 가능하지 않습니다.

현재 각 호스트 변수는 하나 또는 두 개의 설정이 변경된 호스트 변수 파일에 이 해시의 전체 복사본을 가지고 있습니다. 건조하지 않은 것 같습니다. 대부분의 공통 설정이 그룹 변수 파일에 있고 호스트에 특정한 하나 또는 두 개의 설정이 호스트 변수 파일에 있으면 좋을 것입니다.

더 큰 구성의 일부를 더 쉽게 재정의할 수 있도록 combine 필터를 활용하는 방법이 있을 수 있습니다.

예
{{ {'a':{'foo':1, 'bar':2}, 'b':2} | combine({'a':{'bar':3, 'baz':4}}, recursive=True) }}

산출:
{'a':{'foo':1, 'bar':3, 'baz':4}, 'b':2}

(출처: https://docs.ansible.com/ansible/latest/user_guide/playbooks_filters.html#combining-hashes-dictionaries)

statuavailable typenhancement

출처

paulcalabro

👍2

가장 유용한 댓글

내 2센트:

처음에 구성은 현재 상태로 약간 위협적인 TBH로 보입니다. 사용자가 전체 줄을 읽어야 하고 실제로 무슨 일이 일어나는지 이해하기 위해 에이전트 구성 템플릿도 검토해야 할 수도 있습니다.

구성 파일을 병합하는 것이 가능한 해결책이 될 수 있는지 궁금합니다. 적어도 단기적인 해결책은 무엇입니까? 예를 들어 wazuh_agent_config repo 가 있는 이유는 무엇입니까? repo 가 최상위 수준에 있을 수 없는 이유는 무엇입니까? 그러한 접근 방식이 일을 단순화하지 않을까요?

IMO는 일반적으로 깊은 중첩을 취소하고 구성 파일을 섹션으로 분할하고(파일당 정의된 것을 기억하는 데 추가적인 인지 오버헤드가 발생할 수 있으므로 반드시 여러 파일을 생성할 필요는 없음) 섹션 및/또는 특정 구성 옵션당 주석을 추가할 수 있습니다. 구성 파일을 전반적으로 보다 직관적으로 만듭니다.

다음 단계에 대한 아이디어가 있습니까?

감사 해요.

pchristos 에 2020년 09월 04일

👍2

모든 5 댓글

안녕하세요 @paulcalabro ,

이것은 정말 좋은 생각입니다.

이 변경은 섬세하며 공통 항목으로 기본 구성에서 구성을 분리한 다음 더 사용자 정의 가능한 항목으로 하나 또는 여러 구성에서 구성을 분리할 수 있는 이전 접근 방식이 필요합니다.

이 변경 사항에 대한 테스트는 가능한 한 빨리 시작됩니다.

귀하의 협력에 진심으로 감사드립니다. 귀하와 같은 기여에 감사드립니다.

친애하는,

알폰소 루이즈-브라보

SitoRBJ 에 2018년 12월 12일

👍1

@SitoRBJ 피드백에 감사드리며 테스트가 필요하다는 데 전적으로 동의합니다. 말하자면 테스트용으로 Test Kitchen이나 이와 유사한 것을 사용하시나요? 테스트 기여도가 있다면 관심을 가지시겠습니까?

예: InSpec을 사용한 몇 가지 기본 테스트
https://www.dropbox.com/s/5zx9fb5ezc1wgj9/Screenshot%202018-12-12%2003.32.44.png?dl=0

테스트 키친에 대한 정보:
https://kitchen.ci

paulcalabro 에 2018년 12월 12일

안녕하세요 @paulcalabro ,

우리는 아직 Ansible용 Test Kitchen을 사용하지 않습니다. 어떤 기여도 부탁드립니다. 테스트를 원하신다면 환영합니다.

많은 관심과 도움을 주셔서 대단히 감사합니다. 저희에게 매우 유용합니다.

안부 인사,

알폰소 루이즈-브라보

SitoRBJ 에 2018년 12월 12일

👍1

내 2센트:

다음 단계에 대한 아이디어가 있습니까?

감사 해요.

pchristos 에 2020년 09월 04일

👍2

여러분, 안녕하세요. 나는 OP가 제안한 것과 유사한 것을 제공하면서 역할의 이미 확립된 작업 방식과의 호환성을 유지하는 제안과 함께 풀 요청을 검토를 위해 제출했습니다.

어떤 피드백이든 환영합니다. 감사합니다!

neonmei 에 2020년 11월 09일

👍1

이 페이지가 도움이 되었나요?

0 / 5 - 0 등급

Wazuh-ansible: 구성 설정의 선택 부분을 재정의하는 더 쉬운 방법 필요

가장 유용한 댓글

모든 5 댓글

관련 문제