ansible-lockdown.ubuntu20_cis

Descripción general Versiones Perspectivas

Ubuntu 20 CIS

Configurar una máquina Ubuntu 20 para que cumpla con CIS

Basado en el estándar CIS Ubuntu Linux 20.04 LTS Benchmark v2.0.1 Liberación

Org Stars Stars Forks followers Twitter URL

Discord Badge

Release Branch Release Tag Release Date

Estado de la Pipeline Principal

Estado de la Pipeline Devel Commits Devel

Issues Abiertos Issues Cerrados Pull Requests

Licencia

¿Buscas soporte?

Lockdown Enterprise

Soporte de Ansible

Comunidad

En nuestro Servidor de Discord para hacer preguntas, discutir características, o simplemente chatear con otros usuarios de Ansible-Lockdown.

Precaución(es)

Este rol realizará cambios en el sistema que podrían romper cosas. No es una herramienta de auditoría, sino una herramienta de remediación que se debe usar después de que se ha realizado una auditoría.

Este rol fue desarrollado sobre una instalación limpia del sistema operativo. Si lo implementas en un sistema existente, revisa este rol para identificar cualquier cambio específico que necesites.

Documentación

Requisitos

Generales:

  • Conocimiento básico de Ansible, a continuación hay algunos enlaces a la documentación de Ansible para ayudarte a comenzar si no estás familiarizado con Ansible:
  • Tener Ansible y/o Tower funcionando, configurado y en marcha. Esto incluye todas las configuraciones básicas de Ansible/Tower, paquetes necesarios instalados y configuración de infraestructura.
  • Revisa las tareas en este rol para entender lo que hace cada control. Algunas de las tareas son disruptivas y pueden tener consecuencias no deseadas en un sistema de producción activo. Familiarízate también con las variables en el archivo defaults/main.yml.

Dependencias Técnicas:

  • Configuración de Ansible/Tower en funcionamiento (este rol se prueba con la versión de Ansible 2.9.1 y posteriores).
  • Entorno de ejecución de Ansible con Python3.

Auditoría (nueva)

Esto se puede activar o desactivar dentro del archivo defaults/main.yml con la variable run_audit. El valor es falso por defecto, por favor consulta la wiki para más detalles.

Esto es una revisión más rápida y ligera, comprobando la conformidad de la configuración y los ajustes en vivo/corrientes donde sea posible.

Se ha desarrollado una nueva forma de auditoría, utilizando un pequeño binario de go (12MB) llamado goss junto con las configuraciones relevantes para verificar. Sin la necesidad de infraestructura u otras herramientas. Esta auditoría no solo verificará que la configuración tenga el ajuste correcto, sino que también intentará capturar si está funcionando con esa configuración tratando de eliminar falsos positivos en el proceso.

Consulta UBUNTU20-CIS-Audit.

Más documentación sobre auditoría se puede encontrar en Leer La Documentación.

Variables del Rol

Este rol está diseñado para que el usuario final no tenga que editar las tareas. Todo el personal debe hacerse a través del archivo defaults/main.yml o con variables extra dentro del proyecto, trabajo, flujo de trabajo, etc.

Ramas

  • devel - Esta es la rama predeterminada y la rama de desarrollo en curso. Las solicitudes de extracción de la comunidad se fusionarán en esta rama.
  • main - Esta es la rama de liberación.
  • reports - Esta es una rama protegida para nuestros informes de puntuación, no se debería colocar ningún código aquí.
  • gh-pages - Esta es la rama de páginas de GitHub.
  • todas las demás ramas - Ramas individuales de miembros de la comunidad.

Contribución de la Comunidad

Te animamos (a la comunidad) a contribuir a este rol. Por favor, lee las reglas a continuación.

  • Tu trabajo se realizará en tu propia rama individual. Asegúrate de firmar y firmar con GPG todos los commits que desees fusionar.
  • Todas las Pull Requests de la comunidad se fusionan en la rama devel.
  • Las Pull Requests hacia devel confirmarán que tus commits tienen una firma GPG, están firmados y han pasado una prueba funcional antes de ser aprobados.
  • Una vez que tus cambios se hayan fusionado y se complete una revisión más detallada, un miembro autorizado fusionará tus cambios en la rama principal para una nueva liberación.

Pruebas de Pipeline

usa:

  • ansible-core 2.12
  • colecciones de ansible - obtiene la última versión basada en el archivo de requisitos.
  • ejecuta la auditoría utilizando la rama devel.
  • Esta es una prueba automatizada que ocurre en las pull requests a devel.

Extras Añadidos

  • pre-commit se puede probar y ejecutar desde dentro del directorio.
pre-commit run
Acerca del proyecto

Apply the Ubuntu 20 CIS benmarks

role system security cis hardening benchmark compliance complianceascode ubuntu20
Instalar
ansible-galaxy install ansible-lockdown.ubuntu20_cis
GitHub repositorio
174 estrellas
64 bifurcaciones
1 problemas abiertos
Licencia
mit
Descargas
8
Propietario
Ansible Lockdown
Ansible Lockdown is a security baseline automation project sponsored by Mindpoint Group.