ansible-lockdown.ubuntu20_cis

Überblick Versionen Einblicke

Ubuntu 20 CIS

Konfigurieren Sie eine Ubuntu 20-Maschine, um CIS konform zu sein

Basierend auf dem CIS Ubuntu Linux 20.04 LTS Benchmark v2.0.1 Veröffentlichung

Org Sterne Sterne Gabelungen Follower Twitter URL

Discord Badge

Release Branch Release Tag Release Datum

Haupt-Pipeline-Status

Entwicklungs-Pipeline-Status Entwicklungs-Commits

Offene Probleme Geschlossene Probleme Pull Requests

Lizenz

Suche nach Unterstützung?

Lockdown Enterprise

Ansible Unterstützung

Community

In unserem Discord-Server, um Fragen zu stellen, Funktionen zu diskutieren oder einfach mit anderen Ansible-Lockdown-Nutzern zu plaudern.

Achtung(en)

Diese Rolle wird Änderungen am System vornehmen, die Dinge brechen können. Dies ist kein Auditing-Tool, sondern ein Korrektur-Tool, das nach einer durchgeführten Prüfung verwendet werden sollte.

Diese Rolle wurde gegen eine saubere Installation des Betriebssystems entwickelt. Wenn Sie dies auf ein bestehendes System anwenden, überprüfen Sie bitte diese Rolle auf erforderliche spezifische Änderungen.

Dokumentation

Anforderungen

Allgemein:

  • Grundkenntnisse in Ansible; hier einige Links zur Ansible-Dokumentation, um Ihnen zu helfen, wenn Sie mit Ansible nicht vertraut sind:
  • Funktionierendes Ansible und/oder Tower installiert, konfiguriert und in Betrieb. Dies umfasst alle Basiskonfigurationen, benötigte Pakete und die Infrastruktur.
  • Bitte lesen Sie die Aufgaben in dieser Rolle, um zu verstehen, was jede Kontrolle macht. Einige Aufgaben sind störend und können unbeabsichtigte Konsequenzen in einem produktiven System haben. Machen Sie sich auch mit den Variablen in der defaults/main.yml-Datei vertraut.

Technische Abhängigkeiten:

  • Funktionierendes Ansible/Tower-Setup (diese Rolle wurde gegen Ansible-Version 2.9.1 und neuer getestet)
  • Python3 Ansible-Ausführungsumgebung

Auditing (neu)

Dies kann innerhalb der defaults/main.yml-Datei mit der Variablen run_audit ein- oder ausgeschaltet werden. Der Wert ist standardmäßig falsch, bitte lesen Sie das Wiki für weitere Details.

Dies ist eine schnellere, sehr leichte Überprüfung (wo möglich) der Konformität und der laufenden Einstellungen.

Eine neue Form des Audits wurde entwickelt, indem ein kleines (12 MB) Go-Binärprogramm namens goss zusammen mit den relevanten Konfigurationen verwendet wurde. Dies geschieht ohne die Notwendigkeit für Infrastruktur oder andere Werkzeuge. Dieses Audit überprüft nicht nur, ob die Konfiguration die richtigen Einstellungen hat, sondern zielt auch darauf ab festzustellen, ob sie mit dieser Konfiguration ausgeführt wird, und versucht, falsche Positivergebnisse zu vermeiden.

Verweisen Sie auf UBUNTU20-CIS-Audit.

Weitere Auditing-Dokumentationen finden Sie unter Lese die Dokumentation

Rollenvariablen

Diese Rolle ist so konzipiert, dass der Endbenutzer die Aufgaben selbst nicht bearbeiten muss. Alle Anpassungen sollten über die defaults/main.yml-Datei oder mit zusätzlichen Variablen innerhalb des Projekts, Jobs, Workflows usw. vorgenommen werden.

Zweige

  • devel - Dies ist der Standardzweig und der Entwicklungszweig. Community-Pull-Anfragen werden in diesen Zweig gezogen.
  • main - Dies ist der Veröffentlichungszweig.
  • reports - Dies ist ein geschützter Zweig für unsere Bewertungsberichte; hier sollte niemals Code eingehen.
  • gh-pages - Dies ist der Github-Seitenzweig.
  • alle anderen Zweige - Einzelne Mitglieder der Community-Zweige.

Community-Beitrag

Wir ermutigen Sie (die Community), zu dieser Rolle beizutragen. Bitte lesen Sie die Regeln unten.

  • Ihre Arbeit erfolgt in Ihrem eigenen individuellen Zweig. Stellen Sie sicher, dass Sie alle Commits, die Sie zusammenführen möchten, signieren und GPG signieren.
  • Alle Pull-Anfragen der Community werden in den devel-Zweig gezogen.
  • Pull-Anfragen in devel bestätigen, dass Ihre Commits eine GPG-Signatur, das Sign-off haben und einen funktionalen Test bestanden haben, bevor sie genehmigt werden.
  • Sobald Ihre Änderungen zusammengeführt wurden und eine detailliertere Überprüfung abgeschlossen ist, wird ein autorisiertes Mitglied Ihre Änderungen in den Hauptzweig für eine neue Veröffentlichung zusammenführen.

Pipeline-Tests

verwendet:

  • ansible-core 2.12
  • ansible-Kollektionen - zieht die neueste Version basierend auf der Anforderungsdatei
  • führt das Audit mit dem devel-Zweig aus
  • Dies ist ein automatisierter Test, der bei Pull-Anfragen in devel erfolgt

Hinzugefügte Extras

  • pre-commit kann getestet und aus dem Verzeichnis heraus ausgeführt werden.
pre-commit run
Über das Projekt

Apply the Ubuntu 20 CIS benmarks

role system security cis hardening benchmark compliance complianceascode ubuntu20
Installieren
ansible-galaxy install ansible-lockdown.ubuntu20_cis
GitHub Repository
174 Sterne
64 Forks
1 Offene Issues
Lizenz
mit
Downloads
239
Besitzer
Ansible Lockdown
Lockdown is a security baseline automation project sponsored by Tyto Athene.