robertdebock.auditd

Überblick Versionen Einblicke

Ansible-Rolle auditd

Installieren und konfigurieren Sie auditd auf Ihrem System.

GitHub GitLab Downloads Version
github gitlab downloads Version

Beispiel-Playbook

Dieses Beispiel stammt aus molecule/default/converge.yml und wird bei jedem Push, Pull-Request und Release getestet.

---
- name: Konvergenz
  hosts: alle
  become: true
  gather_facts: true

  roles:
    - role: robertdebock.auditd
      auditd_start_service: false
      auditd_local_events: "nein"
      auditd_rules:
        - file: /var/log/audit/
          keyname: auditlog
        - file: /etc/audit/
          permissions:
            - write
            - attribute_change
          keyname: auditconfig
        - file: /etc/libaudit.conf
          permissions:
            - write
            - attribute_change
          keyname: auditconfig
        - file: /etc/audisp/
          permissions:
            - write
            - attribute_change
          keyname: audispconfig
        - file: /sbin/auditctl
          permissions:
            - execute
          keyname: audittools
        - file: /sbin/auditd
          permissions:
            - execute
          keyname: audittools
        - syscall: open
          action: immer
          filter: exit
          filters:
            - auid!=4294967295
            - auid!=unset
          keyname: my_keyname
          arch: b32
        - syscall: adjtimex
          action: immer
          filter: exit
          keyname: time_change
        - syscall: settimeofday
          action: immer
          filter: exit
          keyname: time_change
        - action: immer
          filter: exit
          filters:
            - path=/bin/ping
            - perm=x
            - auid>=500
            - auid!=4294967295
          keyname: privileged

Die Maschine muss vorbereitet werden. Im CI erfolgt dies über molecule/default/prepare.yml:

---
- name: Vorbereiten
  hosts: alle
  become: true
  gather_facts: false

  roles:
    - role: robertdebock.bootstrap

Siehe auch eine vollständige Erklärung und Beispiel zur Verwendung dieser Rollen.

Rollenvariablen

Die Standardwerte für die Variablen sind in defaults/main.yml festgelegt:

---
# Standarddatei für auditd

# Die folgenden Variablen sind in der Handbuchseite für auditd.conf dokumentiert
# https://linux.die.net/man/5/auditd.conf
auditd_buffer_size: 32768
auditd_fail_mode: 1
auditd_maximum_rate: 60
auditd_enable_flag: 1
auditd_local_events: "ja"
auditd_write_logs: "ja"
auditd_log_file: /var/log/audit/audit.log
auditd_log_group: root
auditd_log_format: RAW
auditd_flush: incremental_async
auditd_freq: 50
auditd_max_log_file: 8
auditd_num_logs: 5
auditd_priority_boost: 4
auditd_disp_qos: lossy
auditd_dispatcher: /sbin/audispd
auditd_name_format: none
auditd_max_log_file_action: rotate
auditd_space_left: "75"  # Dies kann eine Zahl ('25') oder ein Prozentsatz ('25%') sein.
auditd_space_left_action: syslog
auditd_verify_email: "ja"
auditd_action_mail_acct: root
auditd_admin_space_left: 50
auditd_admin_space_left_action: suspend
auditd_disk_full_action: suspend
auditd_disk_error_action: suspend
auditd_use_libwrap: "ja"
auditd_tcp_listen_queue: 5
auditd_tcp_max_per_addr: 1
auditd_tcp_client_max_idle: 0
auditd_enable_krb5: "nein"
auditd_krb5_principal: auditd
auditd_distribute_network: "nein"

# Sie können entscheiden, ob Sie die Regeln mit dieser Rolle verwalten oder nicht.
# Wenn Sie auditd_manage_rules auf false setzen, werden die Regeln nicht verwaltet.
auditd_manage_rules: true

# Einige Regeln benötigen eine spezifische Architektur.
auditd_default_arch: b64

# Sie können entscheiden, ob Sie den Dienst auditd starten möchten oder nicht.
# Nützlich in CI, um zu vermeiden, dass der Dienst gestartet wird.
auditd_start_service: true

Anforderungen

Zustand der verwendeten Rollen

Die folgenden Rollen werden verwendet, um ein System vorzubereiten. Sie können Ihr System auch anders vorbereiten.

Anforderung GitHub GitLab
robertdebock.bootstrap Build Status GitHub Build Status GitLab

Kontext

Diese Rolle ist Teil vieler kompatibler Rollen. Weitere Informationen finden Sie in der Dokumentation dieser Rollen.

Hier ist eine Übersicht über verwandte Rollen: dependencies

Kompatibilität

Diese Rolle wurde auf diesen Container-Images getestet:

Container Tags
EL 9
Debian alle
Fedora alle
Ubuntu alle

Die Mindestversion von Ansible, die erforderlich ist, beträgt 2.12, Tests wurden durchgeführt für:

  • Die vorherige Version.
  • Die aktuelle Version.
  • Die Entwicklungsversion.

Wenn Sie Probleme finden, melden Sie diese bitte in GitHub.

Lizenz

Apache-2.0.

Autoreninformation

robertdebock

Bitte ziehen Sie in Betracht, mich zu unterstützen.

Über das Projekt

Install and configure auditd on your system.

role auditd system monitoring security
Installieren
ansible-galaxy install robertdebock.auditd
GitHub Repository
16 Sterne
16 Forks
9 Offene Issues
Lizenz
apache-2.0
Downloads
61.5k
Besitzer
Robert de Bock
I know my way around (Linux) infrastructure, have a passion for automation, Docker, Ansible, Molecule and ci/cd.