florianutz.DockerCE-CIS

Überblick Versionen Einblicke

Docker CE CIS Härtung

Build-Status Ansible-Rolle

Konfigurieren Sie die Docker CE Engine, um den CIS-Anforderungen zu entsprechen. Die Ergebnisse der Ebenen 1 und 2 werden standardmäßig korrigiert.

Diese Rolle wird Änderungen am System vornehmen, die Probleme verursachen könnten. Dies ist kein Werkzeug zur Prüfung, sondern ein Werkzeug zur Behebung nach einer durchgeführten Prüfung.

WICHTIGER INSTALLATIONSCHRITT

Wenn Sie dies über den Befehl ansible-galaxy installieren möchten, führen Sie ihn wie folgt aus:

ansible-galaxy install -p roles -r requirements.yml

Mit folgendem Inhalt in der Datei requirements.yml:

- src: https://github.com/florianutz/DockerCE-CIS.git

Anforderungen

Sie sollten die Aufgaben sorgfältig durchlesen, um sicherzustellen, dass diese Änderungen Ihre Systeme nicht beeinträchtigen, bevor Sie dieses Playbook ausführen.

Rollenvariablen

Es gibt viele Rollenvariablen, die in defaults/main.yml definiert sind. Diese Liste zeigt die wichtigsten.

1.1 | Stellen Sie sicher, dass eine separate Partition für Container erstellt wurde

cis_rule_1_1: false

2.1 | Stellen Sie sicher, dass der Netzwerkverkehr zwischen Containern im Standard-Bridge-Netzwerk eingeschränkt ist

cis_rule_2_1: "false"

2.2 | Stellen Sie sicher, dass das Protokollierungsniveau auf 'info' gesetzt ist

cis_rule_2_2: "info"

2.3 | Stellen Sie sicher, dass Docker Änderungen an den iptables vornehmen darf

cis_rule_2_3: "true"

2.8 | Aktivieren Sie die Unterstützung für Benutzernamespaces

cis_rule_2_8: "default"

2.13 | Stellen Sie sicher, dass Operationen auf dem veralteten Registry (v1) deaktiviert sind (wird von Docker CE nicht mehr unterstützt)
2.14 | Stellen Sie sicher, dass die Live-Wiederherstellung aktiviert ist

cis_rule_2_14: "true"

2.15 | Stellen Sie sicher, dass der Userland-Proxy deaktiviert ist

cis_rule_2_15: "false"

2.17 | Stellen Sie sicher, dass experimentelle Funktionen in der Produktion vermieden werden

cis_rule_2_17: !unsafe docker version --format '{{ .Server.Experimental }}'

2.18 | Stellen Sie sicher, dass Container daran gehindert werden, neue Berechtigungen zu erhalten

cis_rule_2_18: "true"

Abhängigkeiten

Ansible > 2.2

Beispiel-Playbook

- name: Docker CE Engine härten
  hosts: servers
  become: yes

  roles:
     - DockerCE-CIS

Lizenz

MIT

Über das Projekt

Ansible role to apply Docker CE CIS Baseline

role cis docker hardening security system
Installieren
ansible-galaxy install florianutz.DockerCE-CIS
GitHub Repository
58 Sterne
22 Forks
1 Offene Issues
Lizenz
mit
Downloads
2.1k
Besitzer