Ansible Collection Hardening中SSH主机密钥管理的最佳实践

概述

在使用Ansible Collection Hardening进行系统加固时，SSH服务的安全配置是其中重要的一环。该集合中的ssh_hardening角色默认会自动生成新的SSH主机密钥对，这在某些特定场景下可能不符合用户需求。

默认行为解析

ssh_hardening角色默认会执行以下操作：

1. 检查现有SSH主机密钥
2. 如果发现默认的2048位RSA密钥对，会自动替换为更安全的密钥
3. 确保所有必要的密钥类型(如ed25519、ecdsa等)都存在

这种设计基于安全最佳实践，确保系统不会使用弱密钥或默认密钥。

自定义密钥配置

对于已经部署了自定义SSH密钥的环境，可以通过设置ssh_host_key_files变量来指定现有密钥路径，避免角色自动生成新密钥。配置示例如下：

- hosts: target_servers
  roles:
    - ssh_hardening
  vars:
    ssh_host_key_files:
      - /etc/ssh/ssh_host_ed25519_key
      - /etc/ssh/ssh_host_ecdsa_key
      - /etc/ssh/ssh_host_rsa_key

实现原理

当指定了ssh_host_key_files变量后，角色会：

1. 跳过默认的密钥生成任务
2. 直接使用用户提供的密钥路径
3. 仍然会验证这些密钥的权限和安全性
4. 应用其他所有SSH加固配置

使用场景建议

建议在以下情况下使用自定义密钥配置：

1. 企业已有统一的SSH密钥管理体系
2. 需要保持服务器指纹不变(避免影响已知主机列表)
3. 使用集中式密钥轮换方案的环境
4. 需要符合特定合规要求的场景

安全注意事项

如果选择使用自定义密钥，管理员需要自行确保：

1. 密钥长度足够(推荐ed25519或至少4096位RSA)
2. 密钥文件权限设置正确(通常应为600)
3. 有完善的密钥轮换和撤销机制
4. 私钥得到妥善保护，不会被泄露

总结

Ansible Collection Hardening提供了灵活的SSH密钥管理方案，既可以通过自动生成确保安全性，也支持使用现有密钥满足特殊需求。管理员应根据实际环境需求选择最适合的配置方式，在安全性和运维便利性之间取得平衡。