ansible-lockdown.amazon2023_cis

Überblick Versionen Einblicke

AMAZON 2023 CIS

Konfigurieren Sie eine Amazon 2023-Maschine für die CIS-Konformität

Basierend auf CIS Amazon 2023 Benchmark v1.0.0 - 26-06-2023

Org Stars Stars Forks followers Twitter URL

Ansible Galaxy Quality Discord Badge

Release Branch Release Tag Release Date

Hauptpipeline-Status

Entwicklungspipeline-Status Entwicklung Commits

Offene Probleme Geschlossene Probleme Pull-Anfragen

Lizenz

Brauchen Sie Unterstützung?

Lockdown Enterprise

Ansible-Support

Community

Treten Sie unserem Discord-Server bei, um Fragen zu stellen, Funktionen zu diskutieren oder einfach mit anderen Ansible-Lockdown-Nutzern zu plaudern.

Mitwirken

Probleme und Pull-Anfragen sind willkommen. Bitte stellen Sie sicher, dass alle Commits signiert und GPG-signiert sind. Lesen Sie den Mitwirkungshinweis.

Vorsicht(en)

Diese Rolle wird Änderungen am System vornehmen, die unbeabsichtigte Folgen haben können. Dies ist kein Auditing-Tool, sondern ein Remediation-Tool, das nach einem durchgeführten Audit verwendet werden sollte.

Der Prüfmodus wird nicht unterstützt! Die Rolle wird im Prüfmodus ohne Fehler abgeschlossen, ist jedoch nicht unterstützt und sollte mit Vorsicht verwendet werden. Ein Compliance-Scanner sollte zur Compliance-Prüfung über den Prüfmodus verwendet werden.

Diese Rolle wurde gegen eine Neuinstallation des Betriebssystems entwickelt. Wenn Sie sie auf einem bestehenden System implementieren, überprüfen Sie bitte diese Rolle auf erforderliche, standortspezifische Änderungen.

Um die Release-Version zu verwenden, verweisen Sie auf den main-Branch und das entsprechende Release für den CIS-Benchmark, mit dem Sie arbeiten möchten.

Übereinstimmung mit einem Sicherheitsniveau für CIS

Es ist möglich, nur Prüfungen der Stufe 1 oder Stufe 2 für CIS auszuführen. Dies wird mit Tags verwaltet:

  • level1-server
  • level2-server

Die Kontrolle, die im defaults-Hauptverzeichnis gefunden wird, muss dies ebenfalls widerspiegeln, da diese Kontrolle der Test ist, der durchgeführt wird, wenn Sie die Audit-Komponente verwenden.

Nutzung einer vorherigen Version

CIS-Releases enthalten immer Änderungen, daher wird dringend empfohlen, die neuen Referenzen und verfügbaren Variablen zu überprüfen. Dies hat sich seit der ursprünglichen Veröffentlichung von ansible-lockdown erheblich geändert.

Dies ist jetzt mit Python 3 kompatibel, wenn es sich als Standard-Interpreter herausstellt. Es gibt Voraussetzungen, die das System entsprechend konfigurieren.

Weitere Einzelheiten finden Sie im Änderungsprotokoll.

Auditing (neu)

Dies kann im defaults/main.yml-Datei mit den Variablen setup_audit und run_audit ein- oder ausgeschaltet werden. Der Standardwert ist false. Weitere Informationen finden Sie im Wiki. Die Standarddatei befüllt auch die Goss-Checks, um nur die Kontrollen zu überprüfen, die in der Ansible-Rolle aktiviert wurden.

Dies ist eine viel schnellere, sehr leichte Prüfung (wo möglich) der Konformität von Konfigurationen und aktiven/running Einstellungen.

Eine neue Form des Auditing wurde entwickelt, indem ein kleines (12MB) Go-Binary namens goss zusammen mit den entsprechenden Konfigurationen verwendet wurde, um ohne die Notwendigkeit von Infrastruktur oder anderen Werkzeugen zu prüfen.

Dieses Audit überprüft nicht nur, ob die Konfiguration die richtigen Einstellungen hat, sondern zielt auch darauf ab festzustellen, ob sie mit dieser Konfiguration läuft und versucht, falsche Positivmeldungen zu vermeiden.

Lesen Sie dazu AMAZON2023-CIS-Audit.

Dokumentation

Anforderungen

Amazon 2023

  • Zugriff, um die Goss-Binärdatei und Inhalte zum System hinzuzufügen, wenn das Auditing verwendet wird (es gibt andere Optionen, um die Inhalte auf das System zu bekommen).

CentOS Stream - während dies in der Regel funktionieren wird, wird es nicht unterstützt und erfordert die folgende Variableinstellung

os_check: false

Allgemein:

  • Grundkenntnisse in Ansible. Unten sind einige Links zur Ansible-Dokumentation, um Ihnen den Einstieg zu erleichtern, falls Sie mit Ansible nicht vertraut sind.

  • Funktionierendes Ansible und/oder Tower installiert, konfiguriert und am Laufen. Dazu gehören alle grundlegenden Ansible/Tower-Konfigurationen, erforderliche Pakete und die Infrastruktur.

  • Bitte lesen Sie die Aufgaben in dieser Rolle, um ein Verständnis dafür zu gewinnen, was jede Kontrolle bewirkt. Einige Aufgaben sind störend und können unbeabsichtigte Folgen in einem Live-Produktionssystem haben. Gewöhnen Sie sich auch an die Variablen in der Datei defaults/main.yml.

Technische Abhängigkeiten:

  • Python 3
  • Ansible 2.10+
  • python3-libselinux (wird in den Voraussetzungen installiert, falls erforderlich)
  • Sammlungen in collections/requirements.yml gefunden

Pre-commit ist verfügbar, wenn es auf Ihrem Host für das Testen von Pull-Anfragen installiert ist.

Rollenvoraussetzungen

Diese Rolle ist so gestaltet, dass der Endbenutzer die Aufgaben nicht selbst bearbeiten muss. Alle Anpassungen sollten durch Überschreiben der erforderlichen Variablen in der Datei defaults/main.yml erfolgen, z.B. durch Verwendung von Inventory, group_vars, extra_vars.

Tags

Es stehen viele Tags zur Verfügung, um die Kontrolle zu präzisieren. Jede Kontrolle hat ihre eigenen Tags, die das Niveau, ob sie bewertet ist oder nicht, auf welches Betriebssystem-Element sie sich bezieht, ob es ein Patch oder Audit ist und die Regelnummer angeben.

Unten ist ein Beispiel für den Tag-Bereich aus einer Kontrolle innerhalb dieser Rolle. In diesem Beispiel, wenn Sie Ihre Ausführung so festlegen, dass alle Kontrollen mit dem Tag „services“ übersprungen werden, wird diese Aufgabe übersprungen. Das Gegenteil kann auch geschehen, dass Sie nur Kontrollen ausführen, die mit „services“ getaggt sind.

      tags:
      - level1-server
      - level1-workstation
      - scored
      - avahi
      - services
      - patch
      - rule_2.2.4

Gemeinschaftsbeitrag

Wir ermutigen Sie (die Gemeinschaft), zu dieser Rolle beizutragen. Bitte lesen Sie die nachstehenden Regeln.

  • Ihre Arbeit erfolgt in Ihrem eigenen individuellen Branch. Stellen Sie sicher, dass alle Commits, die Sie zusammenführen möchten, signiert und GPG-signiert sind.
  • Alle Pull-Anfragen der Community werden in den Devel-Branch gezogen.
  • Pull-Anfragen in Devel bestätigen, dass Ihre Commits eine GPG-Signatur haben, signiert sind und einen funktionalen Test bestehen, bevor sie genehmigt werden.
  • Sobald Ihre Änderungen zusammengeführt und eine detaillierte Überprüfung abgeschlossen ist, wird ein autorisiertes Mitglied Ihre Änderungen in den Haupt-Branch für eine neue Version zusammenführen.

Bekannte Probleme

Standardinstallationen haben kein Root-Passwort gesetzt, sodass die Vorprüfung fehlschlägt. Bitte setzen Sie ein Root-Passwort mit der korrekten Verschlüsselungsart.

CIS dokumentierte Kontrollmaßnahmen

  • 1.2.2 und 1.2.4 betreffen Standard-Repos und werden das Patchen verhindern.
  • 6.1.1 und 6.1.2 sind identisch. Daher hat Abschnitt 6 nur 12 Punkte im Vergleich zur Dokumentation.

Pipeline-Tests

verwendet:

  • ansible-core 2.12
  • Ansible-Sammlungen - zieht die neueste Version basierend auf der Anforderungsdatei
  • Führt das Audit unter Verwendung des Devel-Branches durch
  • Führt die Pre-Commit-Einrichtung auf der PR aus, um sicherzustellen, dass alles wie erwartet eingerichtet ist.
  • Dies ist ein automatisierter Test, der bei Pull-Anfragen in Devel erfolgt.

Lokale Tests

  • Ansible

    • ansible-base 2.10.17 - python 3.8
    • ansible-core 2.13.4 - python 3.10
    • ansible-core 2.15.1 - python 3.11

Zusätzliche Extras

  • pre-commit kann getestet und innerhalb des Verzeichnisses ausgeführt werden
pre-commit run
Über das Projekt

Apply the Amazon 2023 CIS

role system security stig hardening benchmark compliance complianceascode disa amazonlinux ec2 cis
Installieren
ansible-galaxy install ansible-lockdown.amazon2023_cis
GitHub Repository
24 Sterne
18 Forks
11 Offene Issues
Lizenz
mit
Downloads
741
Besitzer
Ansible Lockdown
Lockdown is a security baseline automation project sponsored by Tyto Athene.