Amazon Linux 2

Configura una máquina Amazon Linux 2 para cumplir con el CIS. No probado en OEL.

Basado en CIS Amazon Linux 2 Benchmark v3.0.0 - 22-12-2023

Únete a nosotros

En nuestro Servidor de Discord para hacer preguntas, discutir características o simplemente charlar con otros usuarios de Ansible-Lockdown.

Precauciones

Este rol hará cambios en el sistema, lo que puede tener consecuencias no deseadas. No es una herramienta de auditoría, sino una herramienta de remediación que debe usarse después de haber realizado una auditoría.

¡¡El modo de verificación no es compatible!! El rol se completará en modo de verificación sin errores, pero no es compatible y debe usarse con precaución. El rol AMAZON2-CIS-Audit o un escáner de cumplimiento deben utilizarse para las verificaciones de cumplimiento sobre el modo de verificación.

Este rol fue desarrollado contra una instalación limpia del sistema operativo. Si lo estás implementando en un sistema existente, revisa este rol en busca de cualquier cambio específico del sitio que sea necesario.

Para usar la versión de lanzamiento, dirígete a la rama principal y la versión relevante para el estándar cis con el que deseas trabajar.

Procedente de una versión anterior

Las versiones de CIS siempre contienen cambios; se recomienda encarecidamente revisar las nuevas referencias y las variables disponibles. Esto ha cambiado significativamente desde el lanzamiento inicial de ansible-lockdown. Ahora es compatible con python3 si se encuentra como el intérprete predeterminado. Esto viene con requisitos previos que configura el sistema en consecuencia.

Más detalles se pueden ver en el Registro de cambios.

Documentación

• Primeros pasos
• Personalizando roles
• Configuración por host
• Sacando el máximo provecho del rol
• Wiki
• Página GitHub del Repo

Requisitos

General:

• Conocimientos básicos de Ansible. A continuación se muestran algunos enlaces a la documentación de Ansible para ayudarte a empezar si no estás familiarizado con Ansible:

  • Página principal de documentación de Ansible
  • Introducción a Ansible
  • Guía de usuario de Tower
  • Información de la comunidad de Ansible

• Tener Ansible y/o Tower funcionando, configurado y en marcha. Esto incluye todas las configuraciones básicas de Ansible/Tower, los paquetes necesarios instalados y la infraestructura configurada.

• Lee las tareas en este rol para comprender lo que está haciendo cada control. Algunas tareas son disruptivas y pueden tener consecuencias imprevistas en un sistema de producción en vivo. También familiarízate con las variables en el archivo defaults/main.yml o en la Página Wiki de Variables Principales.

Dependencias técnicas:

• Instalación funcionando de Ansible/Tower (este rol está probado para la versión de Ansible 2.11.1 y versiones más nuevas).
• Entorno de ejecución de Ansible con Python3.
• python-def: La primera tarea configura los requisitos previos (Etiqueta de requisitos previos) para python3 y python2 (donde sea necesario):
  • libselinux-python
  • python3-rpm (paquete utilizado por py3 para usar el paquete rpm)
  • jmespath

Variables del rol

Este rol está diseñado para que el usuario final no tenga que editar las tareas. Toda la personalización debe hacerse a través del archivo defaults/main.yml o con variables adicionales dentro del proyecto, trabajo, flujo de trabajo, etc. Estas variables se pueden encontrar aquí en la Página Wiki de Variables Principales. Todas las variables están listadas allí junto con descripciones.

Etiquetas

Hay muchas etiquetas disponibles para un control más preciso. Cada control tiene su propio conjunto de etiquetas que indican el nivel, si se puntúa/no se puntúa, a qué elemento del sistema operativo se relaciona, si es un parche o una auditoría, y el número de regla.

A continuación se muestra un ejemplo de la sección de etiquetas de un control dentro de este rol. Usando este ejemplo, si configurás tu ejecución para omitir todos los controles con la etiqueta "services", esta tarea será omitida. Lo opuesto también puede suceder, donde solo se ejecutan los controles etiquetados con "services".

      tags:
      - level1
      - scored
      - avahi
      - services
      - patch
      - rule_2.2.4

Ramas

• devel: Esta es la rama predeterminada y la rama de desarrollo en funcionamiento. Las solicitudes de extracción de la comunidad se incorporarán a esta rama.
• main: Esta es la rama de lanzamiento.
• todas las demás ramas: Ramas individuales de miembros de la comunidad.

Contribución de la comunidad

Te animamos (a la comunidad) a contribuir a este rol. Por favor, lee las normas a continuación.

• Tu trabajo se realiza en tu propia rama individual. Asegúrate de firmar y firmar con GPG todos los commits que desees fusionar.
• Todas las solicitudes de extracción de la comunidad se incorporan a la rama de desarrollo.
• Las solicitudes de extracción en desarrollo confirmarán que tus commits tienen una firma GPG, están firmados y tienen una prueba funcional antes de ser aprobados.
• Una vez que tus cambios se fusionen y se complete una revisión más detallada, un miembro autorizado fusionará tus cambios en la rama principal para un nuevo lanzamiento.

Pruebas de Pipeline

usa:

• ansible-core 2.12+
• colecciones de ansible: incorpora la última versión según el archivo de requisitos.
• ejecuta la auditoría utilizando la rama de desarrollo.
• Esta es una prueba automatizada que ocurre en solicitudes de extracción a desarrollo.

Soporte

Este es un proyecto comunitario en su núcleo y será gestionado como tal.

Si estás interesado en un soporte dedicado para ayudar o proporcionar configuraciones personalizadas:

• Consejero de Ansible
• Prúebanos

Créditos y Agradecimientos

Un enorme agradecimiento a la fantástica comunidad y a todos sus miembros.