Ansible Playbook: copyfail_mitigation.yml

Ansible je idealan alat za brzo delovanje na velikom broju servera istovremeno. Ovaj playbook će automatizovati sve korake koje smo ranije prošli: onemogućavanje modula, prelazak na lokalni mirror i ažuriranje kernela. 

Ovaj playbook je dizajniran da se izvrši kao root (koristeći become: yes) na svim ciljnim Ubuntu serverima.

yaml

—

– name: Hitna zaštita od Copyfail (CVE-2026-31431) i zaobilazak DDoS napada

  hosts: all

  become: yes

  tasks:

    – name: 1. Onemogućavanje ranjivog modula algif_aead (Blacklist)

      copy:

        dest: /etc/modprobe.d/copyfail-fix.conf

        content: |

          blacklist algif_aead

          install algif_aead /bin/false

        owner: root

        group: root

        mode: ‘0644’

    – name: 2. Trenutno uklanjanje modula iz memorije

      modprobe:

        name: algif_aead

        state: absent

      ignore_errors: yes

    – name: 3. Prebacivanje na lokalni mirror (Srbija) radi zaobilaženja DDoS-a

      replace:

        path: /etc/apt/sources.list

        regexp: ‘http://(archive|security)\.ubuntu\.com’

        replace: ‘http://ubuntu.com’

    – name: 4. Ažuriranje liste paketa

      apt:

        update_cache: yes

    – name: 5. Instalacija zakrpljenog kernela

      apt:

        name: linux-image-generic

        state: latest

    – name: 6. Provera da li je potreban restart

      stat:

        path: /var/run/reboot-required

      register: reboot_required_file

    – name: 7. Restart servera ako je ažuriran kernel

      reboot:

        msg: “Restart pokrenut od strane Ansible-a nakon krpljenja Copyfail ranjivosti”

      when: reboot_required_file.stat.exists

Use code with caution.

Kako pokrenuti ovaj playbook?

Sačuvajte kod iznad u fajl pod nazivom copyfail_mitigation.yml.

Proverite da li imate definisan svoj inventory fajl (sa listom IP adresa servera).

Pokrenite komandu:

bash

ansible-playbook -i tvoj_inventory.ini copyfail_mitigation.yml

Use code with caution.

✅ Šta ovaj playbook postiže:

Trajno blokira hakerski put: Čak i ako se server restartuje, modul algif_aead se neće učitati zahvaljujući install /bin/false direktivi.

Ignoriše DDoS na Canonical: Preusmerava saobraćaj na ogledala u Srbiji (npr. ETF ili SBB) koja nisu pod napadom.

Čisti memoriju: Automatski restartuje server samo ako je instaliran novi kernel, čime se briše eventualni maliciozni kod iz RAM-a. 

Pogledajte video o automatizaciji bezbednosti servera pomoću Ansible-a kako biste bolje razumeli proces zaštite infrastrukture: