buluma.auditd

Überblick Versionen Einblicke

Ansible-Rolle auditd

Installiere und konfiguriere auditd auf deinem System.

GitHub Version Issues Pull Requests Downloads
github Version Issues PullRequests Ansible Role

Beispiel-Playbook

Dieses Beispiel stammt aus molecule/default/converge.yml und wird bei jedem Push, Pull Request und Release getestet.

---
- name: Konvergieren
  hosts: all
  become: true
  gather_facts: true

  roles:
    - role: buluma.auditd
      auditd_start_service: false
      auditd_local_events: "nein"
      auditd_rules:
        - file: /var/log/audit/
          keyname: auditlog
        - file: /etc/audit/
          permissions:
            - write
            - attribute_change
          keyname: auditconfig
        - file: /etc/libaudit.conf
          permissions:
            - write
            - attribute_change
          keyname: auditconfig
        - file: /etc/audisp/
          permissions:
            - write
            - attribute_change
          keyname: audispconfig
        - file: /sbin/auditctl
          permissions:
            - execute
          keyname: audittools
        - file: /sbin/auditd
          permissions:
            - execute
          keyname: audittools
        - syscall: open
          action: always
          filter: exit
          filters:
            - auid!=4294967295
            - auid!=unset
          keyname: my_keyname
          arch: b32
        - syscall: adjtimex
          action: always
          filter: exit
          keyname: time_change
        - syscall: settimeofday
          action: always
          filter: exit
          keyname: time_change
        - action: always
          filter: exit
          filters:
            - path=/bin/ping
            - perm=x
            - auid>=500
            - auid!=4294967295
          keyname: privileged

Die Maschine muss vorbereitet werden. In CI geschieht dies mit molecule/default/prepare.yml:

---
- name: Vorbereiten
  hosts: all
  become: true
  gather_facts: false

  roles:
    - role: buluma.bootstrap

Siehe auch eine vollständige Erklärung und Beispiel zur Verwendung dieser Rollen.

Rollen-Variablen

Die Standardwerte für die Variablen sind in defaults/main.yml festgelegt:

---
# Standardeinstellungen für auditd

# Die folgenden Variablen sind in der Man-Seite für auditd.conf dokumentiert
# https://linux.die.net/man/5/auditd.conf
auditd_buffer_size: 32768
auditd_fail_mode: 1
auditd_maximum_rate: 60
auditd_enable_flag: 1
auditd_local_events: "ja"
auditd_write_logs: "ja"
auditd_log_file: /var/log/audit/audit.log
auditd_log_group: root
auditd_log_format: RAW
auditd_flush: incremental_async
auditd_freq: 50
auditd_max_log_file: 8
auditd_num_logs: 5
auditd_priority_boost: 4
auditd_disp_qos: lossy
auditd_dispatcher: /sbin/audispd
auditd_name_format: none
auditd_max_log_file_action: rotate
auditd_space_left: "75"  # Das kann eine Zahl ('25') oder ein Prozentsatz ('25%') sein.
auditd_space_left_action: syslog
auditd_verify_email: "ja"
auditd_action_mail_acct: root
auditd_admin_space_left: 50
auditd_admin_space_left_action: suspend
auditd_disk_full_action: suspend
auditd_disk_error_action: suspend
auditd_use_libwrap: "ja"
auditd_tcp_listen_queue: 5
auditd_tcp_max_per_addr: 1
auditd_tcp_client_max_idle: 0
auditd_enable_krb5: "nein"
auditd_krb5_principal: auditd
auditd_distribute_network: "nein"

# Du kannst entscheiden, ob du die Regeln mit dieser Rolle verwalten möchtest oder nicht.
# Wenn auditd_manage_rules auf false gesetzt ist, werden die Regeln nicht verwaltet.
auditd_manage_rules: true

# Einige Regeln erfordern eine bestimmte Architektur.
auditd_default_arch: b64

# Du kannst entscheiden, ob du den auditd-Dienst starten möchtest oder nicht.
# Nützlich in CI, um zu vermeiden, dass der Dienst gestartet wird.
auditd_start_service: true

Anforderungen

Zustand der verwendeten Rollen

Die folgenden Rollen werden verwendet, um ein System vorzubereiten. Du kannst dein System auch anders vorbereiten.

Anforderung GitHub Version
buluma.bootstrap Ansible Molecule Version

Kontext

Diese Rolle ist Teil vieler kompatibler Rollen. Sieh dir die Dokumentation dieser Rollen für weitere Informationen an.

Hier ist eine Übersicht über verwandte Rollen:

Abhängigkeiten

Kompatibilität

Diese Rolle wurde auf diesen Container-Images getestet:

Container Tags
EL 8, 9
Debian alle
Fedora alle
opensuse alle
Ubuntu alle

Die minimale benötigte Version von Ansible ist 2.12. Tests wurden durchgeführt an:

  • der vorherigen Version.
  • der aktuellen Version.
  • der Entwicklungs-Version.

Wenn du Probleme findest, melde sie bitte unter GitHub.

Änderungsprotokoll

Historie der Rolle

Lizenz

Apache-2.0

Autoreninformation

Shadow Walker

Über das Projekt

Install and configure auditd on your system.

role auditd system monitoring security
Installieren
ansible-galaxy install buluma.auditd
GitHub Repository
1 Sterne
1 Forks
9 Offene Issues
Lizenz
apache-2.0
Downloads
18.3k
Besitzer
Michael Buluma
DevOps Engineer