Module sysctl Ansible : paramètres kernel persistés

ansible.posix.sysctl: gère les paramètres kernel runtime via sysctl (fichiers /etc/sysctl.conf ou /etc/sysctl.d/*.conf). Cas d’usage RHCE 2026 typiques : IP forwarding, ajuster les buffers réseau, durcir la sécurité kernel (kernel.kptr_restrict, net.ipv4.tcp_syncookies).

Module de la collection ansible.posix. Options critiques : name:, value:, state:, sysctl_file: (chemin custom), reload: (applique maintenant).

Pressé ? Les patterns sysctl — durcissement & runtime

# IP forwarding (router, conteneurs Docker/Podman)
- ansible.posix.sysctl:
    name: net.ipv4.ip_forward
    value: '1'
    state: present
    sysctl_file: /etc/sysctl.d/99-ansible-forward.conf
    reload: true        # applique maintenant + persiste
  become: true

# Durcissement réseau (anti-spoofing, syncookies)
- ansible.posix.sysctl:
    name: "{{ item.name }}"
    value: "{{ item.value }}"
    state: present
    sysctl_file: /etc/sysctl.d/99-ansible-hardening.conf
    reload: true
  loop:
    - { name: net.ipv4.tcp_syncookies, value: '1' }       # protection SYN flood
    - { name: net.ipv4.conf.all.rp_filter, value: '1' }   # anti-spoofing
    - { name: net.ipv4.conf.all.accept_redirects, value: '0' }
    - { name: net.ipv6.conf.all.accept_redirects, value: '0' }
    - { name: kernel.kptr_restrict, value: '2' }          # masque les addr kernel
    - { name: kernel.dmesg_restrict, value: '1' }         # dmesg root only
  become: true

Sécurité non négociable :

• sysctl_file: /etc/sysctl.d/99-ansible-<thème>.conf plutôt que /etc/sysctl.conf — modulaire, lisible en revue, ne casse pas la config distrib. Le préfixe 99- garantit que vos règles écrasent les défauts.
• reload: true — sinon la valeur est écrite mais pas appliquée tant que le système n’est pas rebooté ou que sysctl --system n’a pas tourné.
• Durcir par défaut : tcp_syncookies=1, rp_filter=1, accept_redirects=0, kptr_restrict=2, dmesg_restrict=1 — c’est le minimum sur tout serveur exposé. Voir le guide ANSSI sur le durcissement Linux.
• Tester : sysctl -a | grep <param> côté managed node après le run, et rebooter une VM de test pour vérifier que les valeurs persistent.

Ce que vous allez apprendre

• Modifier un paramètre kernel avec persistance et application immédiate.
• Choisir entre /etc/sysctl.conf (legacy) et /etc/sysctl.d/<file>.conf (modulaire).
• Distinguer modification runtime vs persistée.
• Pattern CIS : durcissement complet via fichier dédié.
• Diagnostiquer un paramètre qui revient à sa valeur par défaut après reboot.

Lab d'accompagnement

Cette page est jumelée au lab labs/modules-rhel/sysctl/ dans stephrobert/ansible-training. Détails et commandes en bas de page : Pratiquer dans le lab.

Prérequis

• Avoir ansible.posix installé : ansible-galaxy collection install ansible.posix.
• Connaître les paramètres kernel courants (man sysctl).

Modification basique avec reload: true

- name: Activer l IP forwarding (persistant + immediat)
  ansible.posix.sysctl:
    name: net.ipv4.ip_forward
    value: '1'
    state: present
    reload: true

Le module modifie /etc/sysctl.conf (par défaut) et reload: true lance sysctl -p qui applique immédiatement la valeur. Sans reload: true, le paramètre est écrit mais pas appliqué au runtime — il faut un sysctl -p manuel ou un reboot.

Règle : toujours reload: true si vous voulez l’effet immédiat.

Pattern modulaire : sysctl_file:

Plutôt que tout entasser dans /etc/sysctl.conf, mieux vaut un fichier par rôle dans /etc/sysctl.d/ :

- name: Tuning reseau dans /etc/sysctl.d/99-rhce-lab.conf
  ansible.posix.sysctl:
    name: "{{ item.name }}"
    value: "{{ item.value }}"
    state: present
    sysctl_file: /etc/sysctl.d/99-rhce-lab.conf
    reload: true
  loop:
    - { name: net.core.somaxconn, value: '4096' }
    - { name: net.ipv4.tcp_max_syn_backlog, value: '8192' }
    - { name: net.ipv4.tcp_syncookies, value: '1' }

Avantages :

• Versionné dans le repo Ansible (fetch: pour audit).
• Supprimable proprement via state: absent.
• Préfixe numérique (99-) contrôle l’ordre de chargement (cf. systemd-sysctl(8) : ordre alphabétique).

Pattern durcissement CIS

Le CIS Benchmark RHEL impose une dizaine de paramètres sysctl pour le durcissement :

- name: Durcissement CIS (sysctl)
  ansible.posix.sysctl:
    name: "{{ item.name }}"
    value: "{{ item.value }}"
    state: present
    sysctl_file: /etc/sysctl.d/99-cis-hardening.conf
    reload: true
  loop:
    # Reseau
    - { name: net.ipv4.conf.all.send_redirects, value: '0' }
    - { name: net.ipv4.conf.all.accept_redirects, value: '0' }
    - { name: net.ipv4.conf.all.accept_source_route, value: '0' }
    - { name: net.ipv4.tcp_syncookies, value: '1' }

    # Securite kernel
    - { name: kernel.kptr_restrict, value: '2' }
    - { name: kernel.dmesg_restrict, value: '1' }
    - { name: kernel.randomize_va_space, value: '2' }

    # FS
    - { name: fs.suid_dumpable, value: '0' }

Pattern liste de dicts + loop: rend le code propre et auditable (un fichier dédié, paramètres groupés, modifiable sans toucher au playbook).

Suppression d’un paramètre

- name: Retirer le tuning si plus necessaire
  ansible.posix.sysctl:
    name: net.core.somaxconn
    state: absent
    sysctl_file: /etc/sysctl.d/99-rhce-lab.conf
    reload: true

state: absent retire la ligne du fichier. Mais si le paramètre était surchargé via plusieurs fichiers (/etc/sysctl.conf + /etc/sysctl.d/99-app.conf), le deuxième prend le relais après reload — toujours auditer après suppression.

Le piège : interfaces réseau dynamiques

Certains paramètres incluent des noms d’interface :

# ❌ Suppose que l interface s appelle eth0
- ansible.posix.sysctl:
    name: net.ipv4.conf.eth0.forwarding
    value: '1'

Sur RHEL 10, les interfaces s’appellent souvent enp0s3, ens18, etc. Pattern défensif :

- name: Activer forwarding sur l interface principale
  ansible.posix.sysctl:
    name: "net.ipv4.conf.{{ ansible_default_ipv4.interface }}.forwarding"
    value: '1'
    state: present
    reload: true

ansible_default_ipv4.interface est le fact qui donne le nom de l’interface principale — fonctionne sur n’importe quelle distro.

Pièges courants

Symptôme	Cause	Fix
Paramètre revient au défaut après reboot	Pas de fichier persistant (juste sysctl -w)	Toujours state: present + sysctl_file:
Modification ignorée au runtime	reload: false (défaut)	Ajouter reload: true
Conflit entre fichiers	Plusieurs fichiers définissent le même param	Vérifier l’ordre (préfixe numérique)
Paramètre interface non trouvé	Interface n’existe pas (eth0 sur RHEL 10)	Utiliser ansible_default_ipv4.interface

Glissez pour voir

À retenir

• ansible.posix.sysctl: = paramètres kernel persistés.
• reload: true pour appliquer immédiatement.
• sysctl_file: /etc/sysctl.d/<name>.conf = pattern modulaire préféré.
• Préfixe numérique dans sysctl.d/ contrôle l’ordre (99- = appliqué dernier).
• Pattern CIS : un fichier dédié /etc/sysctl.d/99-cis-hardening.conf.

Pratiquer dans le lab

Cette page a un lab d’accompagnement : labs/modules-rhel/sysctl/ dans stephrobert/ansible-training.

Challenge — sur db1.lab :

1. Configurer 4 paramètres dans /etc/sysctl.d/99-rhce-lab.conf :
   • net.ipv4.ip_forward = 1
   • net.ipv4.tcp_syncookies = 1
   • kernel.kptr_restrict = 2
   • vm.swappiness = 10

Validation pytest+testinfra :

ansible-playbook solution.yml
pytest -v labs/modules-rhel/sysctl/challenge/tests/

9 tests vérifient le fichier et les valeurs effectives via sysctl -n.

Prochaines étapes

Module SELinux Compléter le durcissement par SELinux (booléens, contextes)

Module firewalld Compléter par les règles pare-feu (durcissement réseau)

Module mount Options de montage de durcissement (nodev, nosuid, noexec)

Pivot Modules Vue d'ensemble des modules RHEL système

×

📖 Voir la documentation →