Amazon Linux 2

Konfigurieren Sie eine Amazon Linux 2-Maschine, um CIS konform zu sein. Nicht getestet auf OEL.

Basierend auf CIS Amazon Linux 2 Benchmark v3.0.0 - 22.12.2023

Schließen Sie sich uns an

Besuchen Sie unseren Discord-Server, um Fragen zu stellen, Funktionen zu diskutieren oder einfach mit anderen Ansible-Lockdown-Nutzern zu chatten.

Vorsicht(en)

Diese Rolle wird Änderungen am System vornehmen, die unbeabsichtigte Folgen haben können. Es handelt sich nicht um ein Auditing-Tool, sondern vielmehr um ein Korrekturwerkzeug, das nach einem Audit verwendet wird.

Der Prüfmodus wird nicht unterstützt! Die Rolle wird im Prüfmodus ohne Fehler abgeschlossen, wird jedoch nicht unterstützt und sollte mit Vorsicht verwendet werden. Die AMAZON2-CIS-Audit-Rolle oder ein Compliance-Scanner sollten für die Compliance-Prüfung über den Prüfmodus verwendet werden.

Diese Rolle wurde gegen eine saubere Installation des Betriebssystems entwickelt. Wenn Sie sie auf einem bestehenden System implementieren, überprüfen Sie bitte diese Rolle auf notwendige standortspezifische Änderungen.

Um die Release-Version zu verwenden, weisen Sie auf den Hauptzweig und das relevante Release für den CIS-Benchmarks, mit dem Sie arbeiten möchten.

Übergang von einer vorherigen Version

CIS-Versionen enthalten immer Änderungen. Es wird dringend empfohlen, die neuen Referenzen und verfügbaren Variablen zu überprüfen. Diese haben sich seit der ursprünglichen Veröffentlichung von ansible-lockdown erheblich geändert. Diese ist nun mit Python3 kompatibel, wenn es als Standardinterpreter gefunden wird. Dies kommt mit Voraussetzungen, die das System entsprechend konfiguriert.

Weitere Details sind im Änderungsprotokoll zu finden.

Dokumentation

• Erste Schritte
• Rollen anpassen
• Pro Host-Konfiguration
• Das Beste aus der Rolle herausholen
• Wiki
• Repo GitHub-Seite

Anforderungen

Allgemein:

• Grundkenntnisse in Ansible. Unten finden Sie einige Links zur Ansible-Dokumentation, um Ihnen den Einstieg zu erleichtern, wenn Sie mit Ansible nicht vertraut sind.

  • Hauptseite der Ansible-Dokumentation
  • Ansible Erste Schritte
  • Tower-Benutzerhandbuch
  • Ansible Community Informationen

• Funktionierendes Ansible und/oder Tower, das installiert, konfiguriert und läuft. Dazu gehören alle grundlegenden Ansible/Tower-Konfigurationen, benötigte Pakete und die Infrastruktur.

• Bitte lesen Sie die Aufgaben in dieser Rolle, um ein Verständnis dafür zu gewinnen, was jede Kontrolle bewirkt. Einige Aufgaben sind disruptiv und können unbeabsichtigte Folgen in einem Live-Produktionssystem haben. Machen Sie sich auch mit den Variablen in der defaults/main.yml-Datei oder der Hauptvariablen-Wiki-Seite vertraut.

Technische Abhängigkeiten:

• Ausgeführte Ansible/Tower-Setup (diese Rolle wird gegen Ansible-Version 2.11.1 und neuer getestet)
• Python3 Ansible-Laufumgebung
• python-def - Die erste Aufgabe richtet die Voraussetzungen (Tag pre-reqs) für python3 und python2 (wo erforderlich) ein
  • libselinux-python
  • python3-rpm (Paket, das von py3 zur Verwendung des rpm-Pakets verwendet wird)
  • jmespath

Rollenvariablen

Diese Rolle ist so gestaltet, dass der Endbenutzer die Aufgaben nicht selbst bearbeiten muss. Alle Anpassungen sollten über die defaults/main.yml-Datei oder mit zusätzlichen Variablen innerhalb des Projekts, Jobs, Workflows usw. vorgenommen werden. Diese Variablen finden Sie hier auf der Hauptvariablen-Wiki-Seite. Dort sind alle Variablen mit Beschreibungen aufgelistet.

Tags

Es gibt viele Tags für eine präzisere Kontrolle. Jede Kontrolle hat ihr eigenes Set an Tags, das angibt, welches Niveau, ob es bewertet wird oder nicht, welches OS-Element es betrifft, ob es ein Patch oder Audit ist und die Regelnummer.

Hier ist ein Beispiel für den Tag-Bereich aus einer Kontrolle innerhalb dieser Rolle. Mit diesem Beispiel wird diese Aufgabe übersprungen, wenn Sie Ihre Ausführung so einstellen, dass alle Kontrollen mit dem Tag "services" übersprungen werden. Das Gegenteil kann auch geschehen, wenn Sie nur Kontrollen ausführen, die mit "services" getaggt sind.

      tags:
      - level1
      - scored
      - avahi
      - services
      - patch
      - rule_2.2.4

Zweige

• devel - Dies ist der Standardzweig und der Arbeitsentwicklungszweig. Community-Pull-Anfragen werden in diesen Zweig gezogen.
• main - Dies ist der Release-Zweig.
• alle anderen Zweige - Einzelne Community-Mitgliederzweige.

Community-Beiträge

Wir ermutigen Sie (die Community), zu dieser Rolle beizutragen. Bitte lesen Sie die Regeln unten.

• Ihre Arbeit erfolgt in Ihrem eigenen individuellen Zweig. Stellen Sie sicher, dass Sie alle Commits, die Sie zusammenführen möchten, unterzeichnen und mit GPG signieren.
• Alle Community-Pull-Anfragen werden in den devel-Zweig gezogen.
• Pull-Anfragen in devel bestätigen, dass Ihre Commits über eine GPG-Unterschrift, eine Unterschrift und einen funktionalen Test verfügen, bevor sie genehmigt werden.
• Sobald Ihre Änderungen zusammengeführt sind und eine detailliertere Überprüfung abgeschlossen ist, wird ein autorisiertes Mitglied Ihre Änderungen in den Hauptzweig für ein neues Release zusammenführen.

Pipeline-Testen

Verwendet:

• ansible-core 2.12+
• Ansible-Kollektionen - zieht die neueste Version basierend auf der Anforderungsdatei
• führt das Audit mit dem devel-Zweig durch
• Dies ist ein automatisierter Test, der bei Pull-Anfragen in devel erfolgt.

Support

Dies ist ein Community-Projekt, das von der Community verwaltet wird.

Wenn Sie an dediziertem Support interessiert sind, um Hilfe zu leisten oder maßgeschneiderte Setups bereitzustellen, können Sie Folgendes ausprobieren:

• Ansible Counselor
• Probieren Sie uns aus

Danksagungen

Großer Dank an die fantastische Community und alle ihre Mitglieder.