Module sysctl Ansible : paramètres kernel persistés

ansible.posix.sysctl: gère les paramètres kernel runtime via sysctl (fichiers /etc/sysctl.conf ou /etc/sysctl.d/*.conf). Cas d'usage RHCE 2026 typiques : IP forwarding, ajuster les buffers réseau, durcir la sécurité kernel (kernel.kptr_restrict, net.ipv4.tcp_syncookies).

Module de la collection ansible.posix. Options critiques : name:, value:, state:, sysctl_file: (chemin custom), reload: (applique maintenant).

Pressé ? Les patterns sysctl, durcissement & runtime

# IP forwarding (router, conteneurs Docker/Podman)
- ansible.posix.sysctl:
    name: net.ipv4.ip_forward
    value: '1'
    state: present
    sysctl_file: /etc/sysctl.d/99-ansible-forward.conf
    reload: true        # applique maintenant + persiste
  become: true

# Durcissement réseau (anti-spoofing, syncookies)
- ansible.posix.sysctl:
    name: "{{ item.name }}"
    value: "{{ item.value }}"
    state: present
    sysctl_file: /etc/sysctl.d/99-ansible-hardening.conf
    reload: true
  loop:
    - { name: net.ipv4.tcp_syncookies, value: '1' }       # protection SYN flood
    - { name: net.ipv4.conf.all.rp_filter, value: '1' }   # anti-spoofing
    - { name: net.ipv4.conf.all.accept_redirects, value: '0' }
    - { name: net.ipv6.conf.all.accept_redirects, value: '0' }
    - { name: kernel.kptr_restrict, value: '2' }          # masque les addr kernel
    - { name: kernel.dmesg_restrict, value: '1' }         # dmesg root only
  become: true

Sécurité non négociable :

• sysctl_file: /etc/sysctl.d/99-ansible-<thème>.conf plutôt que /etc/sysctl.conf, modulaire, lisible en revue, ne casse pas la config distrib. Le préfixe 99- garantit que vos règles écrasent les défauts.
• reload: true, sinon la valeur est écrite mais pas appliquée tant que le système n'est pas rebooté ou que sysctl --system n'a pas tourné.
• Durcir par défaut : tcp_syncookies=1, rp_filter=1, accept_redirects=0, kptr_restrict=2, dmesg_restrict=1, c'est le minimum sur tout serveur exposé. Voir le guide ANSSI sur le durcissement Linux.
• Tester : sysctl -a | grep <param> côté managed node après le run, et rebooter une VM de test pour vérifier que les valeurs persistent.

Ce que vous allez apprendre

• Modifier un paramètre kernel avec persistance et application immédiate.
• Choisir entre /etc/sysctl.conf (legacy) et /etc/sysctl.d/<file>.conf (modulaire).
• Distinguer modification runtime vs persistée.
• Pattern CIS : durcissement complet via fichier dédié.
• Diagnostiquer un paramètre qui revient à sa valeur par défaut après reboot.

Lab d'accompagnement

Cette page est jumelée au lab labs/modules-rhel/sysctl/ dans stephrobert/ansible-training. Détails et commandes en bas de page : Pratiquer dans le lab.

Prérequis

• Avoir ansible.posix installé : ansible-galaxy collection install ansible.posix.
• Connaître les paramètres kernel courants (man sysctl).

Modification basique avec reload: true

- name: Activer l IP forwarding (persistant + immediat)
  ansible.posix.sysctl:
    name: net.ipv4.ip_forward
    value: '1'
    state: present
    reload: true

Le module modifie /etc/sysctl.conf (par défaut) et reload: true lance sysctl -p qui applique immédiatement la valeur. Sans reload: true, le paramètre est écrit mais pas appliqué au runtime, il faut un sysctl -p manuel ou un reboot.

Règle : toujours reload: true si vous voulez l'effet immédiat.

Pattern modulaire : sysctl_file:

Plutôt que tout entasser dans /etc/sysctl.conf, mieux vaut un fichier par rôle dans /etc/sysctl.d/ :

- name: Tuning reseau dans /etc/sysctl.d/99-rhce-lab.conf
  ansible.posix.sysctl:
    name: "{{ item.name }}"
    value: "{{ item.value }}"
    state: present
    sysctl_file: /etc/sysctl.d/99-rhce-lab.conf
    reload: true
  loop:
    - { name: net.core.somaxconn, value: '4096' }
    - { name: net.ipv4.tcp_max_syn_backlog, value: '8192' }
    - { name: net.ipv4.tcp_syncookies, value: '1' }

Avantages :

• Versionné dans le repo Ansible (fetch: pour audit).
• Supprimable proprement via state: absent.
• Préfixe numérique (99-) contrôle l'ordre de chargement (cf. systemd-sysctl(8) : ordre alphabétique).

Pattern durcissement CIS

Le CIS Benchmark RHEL impose une dizaine de paramètres sysctl pour le durcissement :

- name: Durcissement CIS (sysctl)
  ansible.posix.sysctl:
    name: "{{ item.name }}"
    value: "{{ item.value }}"
    state: present
    sysctl_file: /etc/sysctl.d/99-cis-hardening.conf
    reload: true
  loop:
    # Reseau
    - { name: net.ipv4.conf.all.send_redirects, value: '0' }
    - { name: net.ipv4.conf.all.accept_redirects, value: '0' }
    - { name: net.ipv4.conf.all.accept_source_route, value: '0' }
    - { name: net.ipv4.tcp_syncookies, value: '1' }

    # Securite kernel
    - { name: kernel.kptr_restrict, value: '2' }
    - { name: kernel.dmesg_restrict, value: '1' }
    - { name: kernel.randomize_va_space, value: '2' }

    # FS
    - { name: fs.suid_dumpable, value: '0' }

Pattern liste de dicts + loop: rend le code propre et auditable (un fichier dédié, paramètres groupés, modifiable sans toucher au playbook).

Suppression d'un paramètre

- name: Retirer le tuning si plus necessaire
  ansible.posix.sysctl:
    name: net.core.somaxconn
    state: absent
    sysctl_file: /etc/sysctl.d/99-rhce-lab.conf
    reload: true

state: absent retire la ligne du fichier. Mais si le paramètre était surchargé via plusieurs fichiers (/etc/sysctl.conf + /etc/sysctl.d/99-app.conf), le deuxième prend le relais après reload, toujours auditer après suppression.

Le piège : interfaces réseau dynamiques

Certains paramètres incluent des noms d'interface :

# ❌ Suppose que l interface s appelle eth0
- ansible.posix.sysctl:
    name: net.ipv4.conf.eth0.forwarding
    value: '1'

Sur RHEL 10, les interfaces s'appellent souvent enp0s3, ens18, etc. Pattern défensif :

- name: Activer forwarding sur l interface principale
  ansible.posix.sysctl:
    name: "net.ipv4.conf.{{ ansible_default_ipv4.interface }}.forwarding"
    value: '1'
    state: present
    reload: true

ansible_default_ipv4.interface est le fact qui donne le nom de l'interface principale, fonctionne sur n'importe quelle distro.

Pièges courants

Symptôme	Cause	Fix
Paramètre revient au défaut après reboot	Pas de fichier persistant (juste sysctl -w)	Toujours state: present + sysctl_file:
Modification ignorée au runtime	reload: false (défaut)	Ajouter reload: true
Conflit entre fichiers	Plusieurs fichiers définissent le même param	Vérifier l'ordre (préfixe numérique)
Paramètre interface non trouvé	Interface n'existe pas (eth0 sur RHEL 10)	Utiliser ansible_default_ipv4.interface

Glissez pour voir

À retenir

• ansible.posix.sysctl: = paramètres kernel persistés.
• reload: true pour appliquer immédiatement.
• sysctl_file: /etc/sysctl.d/<name>.conf = pattern modulaire préféré.
• Préfixe numérique dans sysctl.d/ contrôle l'ordre (99- = appliqué dernier).
• Pattern CIS : un fichier dédié /etc/sysctl.d/99-cis-hardening.conf.

Pratiquer dans le lab

Cette page a un lab d'accompagnement : labs/modules-rhel/sysctl/ dans stephrobert/ansible-training.

Challenge, sur db1.lab :

1. Configurer 4 paramètres dans /etc/sysctl.d/99-rhce-lab.conf :
   • net.ipv4.ip_forward = 1
   • net.ipv4.tcp_syncookies = 1
   • kernel.kptr_restrict = 2
   • vm.swappiness = 10

Validation pytest+testinfra :

ansible-playbook solution.yml
pytest -v labs/modules-rhel/sysctl/challenge/tests/

9 tests vérifient le fichier et les valeurs effectives via sysctl -n.

Prochaines étapes

Module SELinux Compléter le durcissement par SELinux (booléens, contextes)

Module firewalld Compléter par les règles pare-feu (durcissement réseau)

Module mount Options de montage de durcissement (nodev, nosuid, noexec)

Pivot Modules Vue d'ensemble des modules RHEL système

×

📖 Voir la documentation →