# 安全检查清单

## 1. 权限管理检查

### Sudo 和权限提升
- [ ] 所有 Playbook 是否正确使用 `become: yes`
- [ ] 权限提升是否遵循最小权限原则
- [ ] 是否有不必要的全局 root 权限使用

## 2. 脚本下载安全
- [ ] 所有脚本下载是否启用 `validate_certs: yes`
- [ ] 下载脚本权限是否正确设置（`mode: '0755'`）
- [ ] 下载源是否可信且使用 HTTPS

## 3. 日志安全配置
- [ ] 日志总大小限制是否合理（默认 500M）
- [ ] 单个日志文件大小限制（默认 100M）
- [ ] 日志保留期限设置（默认 7 天）
- [ ] 日志速率限制是否正确配置

## 4. 常规安全审计
- [ ] 定期检查并更新安全配置
- [ ] 审核所有自动化脚本
- [ ] 检查证书和加密设置
- [ ] 监控异常日志和访问行为