# 安全最佳实践指南

## 1. 权限管理

### Sudo 权限使用
1. **始终** 使用 `become: yes`
2. 仅在必要时提升权限
3. 避免使用全局 root 权限

### 脚本下载安全
1. 始终启用证书验证 `validate_certs: yes`
2. 限制下载脚本权限 `mode: '0755'`
3. 使用 HTTPS 下载源

## 2. 日志安全

### 日志配置最佳实践
1. 限制日志总大小（默认 500M）
2. 控制单个日志文件大小（默认 100M）
3. 设置日志保留期限（默认 7 天）
4. 启用日志速率限制

### 防御策略
1. 防止日志炸弹攻击
2. 定期审查日志配置
3. 备份重要日志

## 3. 安全检查清单

- [ ] 验证所有下载脚本的来源
- [ ] 检查 sudo 权限使用范围
- [ ] 审核日志配置
- [ ] 定期更新和补丁