mablanco.lynis

Überblick Versionen Einblicke

mablanco.lynis

Ansible-Role zur Bereitstellung von Lynis, einem Open-Source-Sicherheitsprüfungswerkzeug, aus seinem Git-Repository, dem offiziellen Tar-Archiv oder den offiziellen Linux-Paketen. Es plant auch eine wöchentliche Prüfung, deren Ergebnisbericht an ein anpassbares E-Mail-Konto gesendet wird.

Ich empfehle die Verwendung der Methode 'git', da sie immer die neueste verfügbare Version installiert. Die Methode 'tar' sollte nur als Fallback verwendet werden, falls auf dem Zielrechner kein Git-CLI-Client vorhanden ist. Wenn Sie die beste Integration mit Ihrer Linux-Distribution bevorzugen, können Sie die Methode 'pkg' wählen.

Rollenvariablen

  • lynis_deploy_method: Bereitstellungsmethode. Standardmäßig auf 'tar' eingestellt. Akzeptierte Werte: 'tar', 'git', 'pkg'. Momentan unterstützte Linux-Distributionen: Debian, Ubuntu, RHEL, Fedora, CentOS, openSuSE und SLES.
  • lynis_home: Verzeichnis, in dem Lynis installiert wird. Standardmäßig auf '/opt/lynis' eingestellt.
  • lynis_url: URL zum Abrufen des Tar-Archivs. Standardmäßig auf 'https://cisofy.com/files' eingestellt.
  • lynis_version: Version des abzurufenden Tar-Archivs. Momentan standardmäßig auf '2.7.3' eingestellt.
  • lynis_package: Name des Tar-Archivs. Standardmäßig auf 'lynis-{{ lynis_version }}.tar.gz' eingestellt.
  • lynis_git_repo: Git-Repository-URL. Standardmäßig auf 'https://github.com/CISOfy/lynis' eingestellt.
  • lynis_cron_hour: Stunde der Ausführung des Cronjobs. Standardmäßig auf '6' eingestellt.
  • lynis_cron_minute: Minute der Ausführung des Cronjobs. Standardmäßig auf '30' eingestellt.
  • lynis_cron_dow: Wochentag der Ausführung des Cronjobs. Standardmäßig auf '7' eingestellt.
  • lynis_report_from: E-Mail-Adresse des Absenders für den wöchentlichen Prüfungsbericht. Kein gültiger Standardwert.
  • lynis_report_to: E-Mail-Adresse des Empfängers für den wöchentlichen Prüfungsbericht. Kein gültiger Standardwert.
  • lynis_log_expire: Tage, bevor Protokolle gelöscht werden. Standardmäßig auf '90' eingestellt.
  • lynis_tests_to_skip: Tests, die in den Prüfungen übersprungen werden sollen. Kein Standardwert, füllen Sie diese nach Belieben mit einer Liste von Testcodes aus.

Beispiel-Playbook

Beispiele, wie man diese Rolle verwenden kann, je nach gewählter Bereitstellungsmethode:

- hosts: lynis-tar
  roles:
     - { role: mablanco.lynis, lynis_deploy_method: tar }

- hosts: lynis-git
  roles:
     - { role: mablanco.lynis, lynis_deploy_method: git }

- hosts: lynis-pkg
  roles:
     - { role: mablanco.lynis, lynis_deploy_method: pkg }

Sie können auch die Variable lynis_deploy_method in Ihrem Inventar wie folgt verwenden:

[lynis-tar]
server01

[lynis-tar:vars]
lynis_deploy_method=tar

Wenn Sie Tests überspringen möchten, die auf Ihren Servern keinen Sinn machen, können Sie die Variable lynis_tests_to_skip mit einer Liste der Testcodes an einer der üblichen Stellen in Ansible zuweisen. Zum Beispiel in der Datei 'vars/main.yml':

---
# Variablen-Datei für mablanco.lynis

lynis_tests_to_skip:
  - SSH-7408
  - KRNL-6000
  - HOME-9350

Lizenz

GPLv3

Über das Projekt

Lynis security audit tool deployment

role security
Installieren
ansible-galaxy install mablanco.lynis
GitHub Repository
11 Sterne
2 Forks
1 Offene Issues
Lizenz
gpl-3.0
Downloads
208
Besitzer
Marco Antonio Blanco
DevSecOps & Cloud Engineer, FOSS advocate and Agile supporter.