Предыдущий пост серии – Ansible: миграция RTFM 2.9 – монтирование EBS и настройка NGINX на Bastion.
Сегодня надо выполнить установку и настройку:
- Let’s Encrypt
- SSL на NGINX и виртуалхоста (пока только dev.rtfm.co.ua)
hostnameexim
Ссылки на коммиты файлов, получившиеся в результате написания этого поста:
roles/letsencrypt/tasks/main.ymlrtfm-blog-ansible-bastion-provision.ymlroles/nginx/templates/nginx.confhostsroles/common/tasks/main.ymlroles/exim/templates/update-exim4.conf.conf.j2roles/exim/templates/mailname.j2roles/exim/tasks/main.yml
Содержание
Let’s Encrypt
Для Let’s Encrypt напишем свою роль, которая будет только выполнять установку клиента и добавлять cron-задачу для обновления сертификатов.
Сами сертификаты и все настройки Let’s Encrypt будут храниться на data-диске – EBS-разделе, который подключается к EC2 во время создания стека:
Сейчас в каталоге /data размещаются только конфиги NGINX:
На рабочей машине создаём каталог для роли Let’s Encrypt:
Для установки потребуется:
- создать каталог
/data/letsencrypt– он будет использоваться вместо дефолтного/etc/letsecrypt(опция--config-dir), если его нет - установить клиент
letsencrypt - добавить
cron-задачу дляrenew
Создаём файл roles/letsencrypt/tasks/main.yml, добавляем создание каталога:
- name: Create Let's Encrypt directory
file:
path=/data/letsencrypt
state=directory
И установку Let’s Encrypt клиента (certbot):
...
- name: Install Let's Encrypt client
apt:
name=letsencrypt
state=latest
В файл плейбука rtfm-blog-ansible-bastion-provision.yml добавляем вызов роли после роли common (в которой выполняется подключение раздела /dev/xvdb1):
- hosts: all
become:
true
roles:
- role: common
- role: letsencrypt
...
Проверяем:
Запускаем:
Проверяем каталог:
Клиент:
ОК – попробуем получить сертификат с опциями:
--config-dir: путь к каталогу с настройками и файлами ключей--noninteractive: не запрашивать ввода данных от пользователя--webroot: авторизация черезwebroot:--webroot-path– путь кlocation .well-known
--email: почта для уведомлений и восстановления--agree-tos: согласиться с ACME Subscriber Agreement
Отлично – работает.
Проверям сертификаты:
Проверяем каталог с данными:
ОК – теперь можно пересоздавать стек, а сертификаты будут на прежнем месте – на EBS разделе.
Добавим в роль letsencrypt создание cron-задачи.
Проверяем работу renew:
Возвращаемся к roles/letsencrypt/tasks/main.yml:
...
- name: Add Let's Encrypt cronjob for cert renewal
cron:
name: letsencrypt_renewal
special_time: weekly
job: letsencrypt --config-dir /data/letsencrypt/ renew & > /var/log/letsencrypt/letsencrypt.log && service nginx reload
Запускаем:
Проверяем:
NGINX SSL
Обновим настройки самого NGINX, добавим параметры SSL (см. пост OpenBSD: установка NGINX и настройки безопасности).
Сначала выполним на сервер, проверим, потом обновим roles/nginx/templates/nginx.conf и шаблон виртуалхоста в Bitbucket.
Отключаем афиширование версии NGINX:
... server_tokens off; ...
Обновляем параметры SSL:
...
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH !RC4";
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 1h;
ssl_stapling on;
ssl_stapling_verify on;
...
Обновляем параметры SSL для виртуалхоста dev.rtfm.co.ua (сам шаблон хранится в приватном репозитории Bibucket).
Добавляем HSTS:
... add_header Strict-Transport-Security "max-age=31536000; includeSubdomains"; ...
Отключаем проверку MIME-типов – добавляем X-Content-Type-Options:
... add_header X-Content-Type-Options nosniff; ...
Включаем SSL:
... listen 443 ssl; ... ssl_certificate /data/letsencrypt/live/dev.rtfm.co.ua/fullchain.pem; ssl_certificate_key /data/letsencrypt/live/dev.rtfm.co.ua/privkey.pem; ...
Добавляем новый server {} на порту 80, и выполняем редирект на 443:
server {
listen 80;
server_name dev.rtfm.co.ua;
return 301 https://dev.rtfm.co.ua$request_uri;
}
...
Полностью файл /data/data-nginx.d/dev.rtfm.co.ua.conf сейчас выглядит так:
server {
listen 80;
server_name dev.rtfm.co.ua;
return 301 https://dev.rtfm.co.ua$request_uri;
}
server {
server_name dev.rtfm.co.ua;
listen 443 ssl;
access_log /var/log/nginx/dev.rtfm.co.ua-access.log proxy;
error_log /var/log/nginx/dev.rtfm.co.ua-error.log notice;
ssl_certificate /data/letsencrypt/live/dev.rtfm.co.ua/fullchain.pem;
ssl_certificate_key /data/letsencrypt/live/dev.rtfm.co.ua/privkey.pem;
add_header Strict-Transport-Security "max-age=31536000; includeSubdomains";
add_header X-Content-Type-Options nosniff;
root /var/www/html;
index index.html index.htm index.nginx-debian.html;
location ~ /.well-known {
allow all;
}
location / {
try_files $uri $uri/ =404;
}
}
Проверяем, перечитываем конфиги:
Проверяем:
Всё хорошо – редирект работает, SSL тоже:
Проверяем уровень на https://www.ssllabs.com/ssltest/:
B – а хочется A+, сейчас исправим – добавим генерацию ключа Diffie-Hellman.
Обновляем роль nginx, в roles/nginx/tasks/main.yml добавляем генерацию ключа:
...
- name: Generate dhparams
shell: openssl dhparam -out /etc/nginx/dhparams.pem 2048
args:
creates: /etc/nginx/dhparams.pem
...
Обновляем roles/nginx/templates/nginx.conf аналогично тому, как делали на сервере, но добавляем:
... ssl_dhparam /etc/nginx/dhparams.pem; ...
Обновляем шаблон ~/Work/RTFM/Bitbucket/rtfm-blog-ansible-templates/dev.rtfm.co.ua.conf (сейчас шаблон копируется из роли nginx, но надо будет создать отдельную задачу в Jenkins для обновления конфигов виртуалхостов NGINX).
Проверяем:
Запускаем:
Проверяем:
ОК – есть А+.
Наверное – стоит всё-таки сейчас удалить весь стек, пересоздать его заново, и проверить, что всё работает. Потом можно добавить настройку hostname и exim.
Удаляем CloudFormation стек:
Создаём его заново:
Запускаем Ansible:
Проверяем:
Всё работает.
hostname
Для корректной работы почты – надо настроить hostname, см. детали в посте Exim: Mailing to remote domains not supported.
Добавим переменную set_ostname в файл hosts:
... [rtfm-bastion-dev:vars] data_volume_id="/dev/xvdb1" set_hostname="rtfm-bastion-dev" ...
Обновляем роль common, в файле roles/common/tasks/main.yml используем модуль hostname:
...
- name: Set hostname
hostname:
name: "{{ set_hostname }}"
Для обновления файла /etc/hosts – используем модуль lineinfile, добавляем его тут же, следующим:
...
- name: Add hostnames to /etc/hosts
lineinfile:
dest: /etc/hosts
regexp: '^127\.0\.0\.1[ \t]+localhost'
line: "127.0.0.1 localhost {{ set_hostname }} {{ inventory_hostname }}"
state: present
Т.к. это EC2 – то файл /etc/hosts обновляется при рестартах:
Находим параметр:
Добавляем изменения для /etc/cloud/cloud.cfg.d/01_debian_cloud.cfg:
...
- name: Update /etc/cloud/cloud.cfg.d/01_debian_cloud.cfg
lineinfile:
dest: /etc/cloud/cloud.cfg.d/01_debian_cloud.cfg
regexp: '^manage_etc_hosts: true'
line: "manage_etc_hosts: false"
state: present
Запускаем:
Проверяем:
exim
Последняя задача на сегодня – настроить exim на отправку почты “в мир”.
Для этого надо изменить два файла – /etc/exim4/update-exim4.conf.conf и /etc/mailname.
Создадим роль exim:
В templates добавим шаблон update-exim4.conf.conf.j2:
dc_eximconfig_configtype='internet'
dc_other_hostnames='"{{ inventory_hostname }}"'
dc_local_interfaces='127.0.0.1 ; ::1'
dc_readhost=''
dc_relay_domains=''
dc_minimaldns='false'
dc_relay_nets=''
dc_smarthost=''
CFILEMODE='644'
dc_use_split_config='false'
dc_hide_mailname=''
dc_mailname_in_oh='true'
dc_localdelivery='mail_spool'
И mailname.j2 с одной строкой:
{{ inventory_hostname }}
В roles/exim/tasks/main.yml описываем применение шаблонов, перезагрузку exim и отправку тестового сообщения:
- name: Update Exim4 settings
template:
src=templates/update-exim4.conf.conf.j2
dest=/etc/exim4/update-exim4.conf.conf
- name: Update mailname
template:
src=templates/mailname.j2
dest=/etc/mailname
- name: Exim4 restart
service:
name=exim4
state=restarted
- name: Send test email
shell:
echo "Eximt4 config complete" | mailx -s "{{ inventory_hostname }} Exim4 test" notify@domain.kiev.ua
Добавляем роль exim в rtfm-blog-ansible-bastion-provision.yml:
- hosts: all
become:
true
roles:
- role: common
- role: exim
...
Запускаем:
Проверяем:
Готово.
Ещё надо обновить почту root, добавить копирование .bashrc, .vimrc и установку fail2ban – но это уже в следующий раз.
