jbertozzi.cis_rhel8

Überblick Versionen Einblicke

cis-rhel8

Build-Status Ansible Rolle

Konfigurieren Sie einen RHEL 8-Server, um den CIS-Benchmarks zu entsprechen.

Seien Sie vorsichtig, bevor Sie diese Rolle verwenden, da sie Ihre Systeme möglicherweise beschädigen kann.

Rollenvariablen

Element

Es gibt eine boolesche Variable pro Element cis_rhel8_<section>_<subitem1>_<subitem2>(_<subitem3>)?, die die zugehörige Korrektur anwenden oder nicht anwenden wird. Standardmäßig wird die Rolle alle Elemente korrigieren. Achten Sie darauf, die entsprechenden Variablen auf false zu setzen, wenn Ihre Systeme spezielle Anforderungen haben.

Beispielsweise, wenn Sie kein Bootloader-Passwort einrichten möchten (1.5.2 - Sicherstellen, dass das Bootloader-Passwort gesetzt ist), setzen Sie die Variable cis_rhel8_1_5_2 auf false.

Anpassung

Für einige Elemente können Sie eine oder mehrere Variablen konfigurieren. Wenn Sie sich beispielsweise entscheiden, ein Bootloader-Passwort festzulegen, können Sie Ihr eigenes setzen oder entscheiden, es zurückzusetzen mit:

  • cis_rhel8_grub_password: meinneuesicherespasswort (diese Variable sollte wahrscheinlich verschlüsselt werden)
  • cis_rhel8_reset_grub_password: true

Standardmäßig sind diese Anpassungsvariablen auf den empfohlenen Wert der CIS-Benchmarks eingestellt.

Beispiel-Playbooks

Wenden Sie alle Korrekturen mit Standardwerten an:

$ cat cis.yml
---
- hosts: rhel8_servers
  roles:
    - role: cis-rhel8
$ ansible-playbook cis.yml

Wenden Sie nur Abschnitt 1 (Erste Einrichtung) an:

$ cat cis.yml
---
- hosts: rhel8_servers
  vars:
    cis_rhel8_5_2_11: false
    roles:
     - role: cis-rhel8
$ ansible-playbook cis.yml -t section1

Wenden Sie nur die Ebene 1 Elemente an, korrigieren Sie einige Elemente nicht (1.4.1 Stellen Sie sicher, dass AIDE installiert ist und 5.2.6 Stellen Sie sicher, dass SSH X11-Weiterleitung deaktiviert ist) und passen Sie 5.2.5 Stellen Sie sicher, dass das SSH-LogLevel angemessen ist an:

$ cat cis.yml
---
- hosts: rhel8_servers
  vars:
    cis_rhel8_1_4_1: false
    cis_rhel8_5_2_6: false
    cis_rhel8_sshd_log_level: DEBUG
    roles:
     - role: cis-rhel8
$ ansible-playbook cis.yml -t level1

Lizenz

BSD

Autoreninformation

Jérémy Bertozzi jeremy.bertozzi@gmail.com

Über das Projekt

Apply CIS guideline for rhel8

role cis hardening rhel8 system
Installieren
ansible-galaxy install jbertozzi.cis_rhel8
GitHub Repository
9 Sterne
5 Forks
6 Offene Issues
Lizenz
Unknown
Downloads
755
Besitzer