Ansible 自动化安全基线检查进阶指南：变量让 Playbook 活 起来

摘要： 告别僵化的 Playbook！深入学习 Ansible 变量的使用，打造灵活、高效的安全基线检查方案。

在信息安全领域，安全基线检查是保障系统安全的重要手段。然而，面对日益复杂的 IT 环境，仅依靠手动执行安全基线检查不仅效率低下，而且容易出错。

Ansible 作为一款强大的自动化运维工具，为我们提供了一种高效、可靠的解决方案。通过 Ansible Playbook，我们可以将安全基线检查任务自动化，不仅可以节省大量时间和人力成本，还能有效避免人为错误，提高检查的准确性和可靠性。

在之前的文章中，我们介绍了 Ansible 自动化安全基线检查的基础知识，受到了大家的广泛关注和积极反馈。为了满足大家对进阶技巧的渴望，今天我将深入探讨 Ansible Playbook 中变量的使用，助你将 Playbook 打造成灵活、高效的安全基线检查利器！

为什么需要变量？

想象一下，你需要为不同的环境（例如开发环境、测试环境和生产环境）配置不同的安全基线策略。或者，你需要在不同的操作系统版本上执行不同的检查任务。这时，如果将所有配置硬编码到 Playbook 中，将会导致代码冗长、难以维护，并且难以适应变化。

变量为我们提供了一种灵活的解决方案。通过定义变量，我们可以将 Playbook 中的某些值参数化，使其能够根据不同的环境或条件动态调整。

变量的类型

Ansible 支持多种类型的变量，包括：

内置变量: Ansible 自带的一些变量，例如 inventory_hostname、ansible_distribution 等，可以获取主机名、操作系统等信息。
自定义变量: 用户自己定义的变量，可以根据需要设置变量名和变量值。
组变量和主机变量: 可以为特定的主机组或主机定义变量，从而实现更精细化的配置。
事实变量: Ansible 通过收集目标主机的信息自动生成的变量，例如 ansible_os_family、ansible_kernel 等。

如何定义变量？

在 Playbook 中定义

---- hosts: all  vars:    ssh_port: 22    max_login_attempts: 5

2. 在 inventory 文件中定义

[webservers]www1.example.com ssh_port=2222www2.example.com[dbservers]db1.example.com max_login_attempts=3

3. 在外部文件中定义

# vars/security_settings.ymlssh_port: 22max_login_attempts: 5

# playbook.yml---- hosts: all  vars_files:    - vars/security_settings.yml

如何使用变量？

在 Playbook 中，可以使用 {{ 变量名 }} 的形式引用变量。

---- hosts: all  become: true  tasks:    - name: 检查 SSH 配置      lineinfile:        path: /etc/ssh/sshd_config        regexp: '^Port'        line: 'Port {{ ssh_port }}'    - name: 设置最大登录尝试次数      pam_limits:        domain: '*'        limit_item: 'maxlogins'        value: '{{ max_login_attempts }}'