Security Ansible成为最佳实践

我使用Ansible管理容器。我希望在部署时确保遵循用户的最佳实践。关于这一点：

我的大部分剧本都变成了下面的陈述。这（我认为）是大多数活动所必需的，例如安装软件包、移动系统范围的配置文件以及添加/更新用户。你是做什么的

变成：是的 变成：方法：sudo

我应该在主机上部署一个新用户吗？与#1相关，我可以修改该用户的sudoers访问权限，以允许apt和其他软件包，但这是一项相当大的工作，可能会随着模块的变化而变化。如果需要的话，它将允许我将用户与SSH访问隔离开来

我不知道我应该遵循的与正确应用配置管理系统相关的其他实践（在安全方面）。我错过什么了吗

---

目前，我们禁止在并非绝对必要的情况下使用

been

，而是在用户访问服务器（例如

user1

）时使用

-b

标志来执行sudo应用程序

这很有帮助，因为：

应用playbook的用户需要提供

-b

标志（即：一个额外的“安全性”层-您可以将其与“当您不需要时，您应该是linux机器上的root用户”的语句进行比较）

您可以运行playbook w/o

-b

进行检查模式。它将告诉您是否需要在该服务器上执行任何操作，而不执行任何操作

become: yes become:method: sudo