Ubuntu 22 CIS

Configurar una máquina Ubuntu 22 para cumplir con CIS

Basado en el CIS Ubuntu Linux 22.04 LTS Benchmark v1.0.0 Liberación

¿Buscas soporte?

Lockdown Enterprise

Soporte de Ansible

Comunidad

Únete a nuestro Servidor de Discord para hacer preguntas, discutir características o simplemente charlar con otros usuarios de Ansible-Lockdown.

Precauciones

Este rol hará cambios en el sistema que podrían causar problemas. No es una herramienta de auditoría, sino una herramienta de remediación que se utiliza después de realizar una auditoría.

Este rol fue desarrollado en una instalación limpia del sistema operativo. Si lo implementas en un sistema existente, revisa este rol para ver si hay cambios específicos del sitio que sean necesarios.

Documentación

• Leer la Documentación
• Comenzando
• Personalizando Roles
• Configuración por Anfitrión
• Sacarle el Máximo Provecho al Rol

Requisitos

Generales:

• Conocimiento básico de Ansible. A continuación, algunos enlaces a la documentación de Ansible para ayudarte a comenzar si no estás familiarizado:
  • Página principal de la documentación de Ansible
  • Introducción a Ansible
  • Guía del Usuario de Tower
  • Información de la Comunidad de Ansible
• Ansible y/o Tower en funcionamiento, instalados, configurados y funcionando. Esto incluye todas las configuraciones base de Ansible/Tower, paquetes necesarios instalados y configuración de infraestructura.
• Por favor, revisa las tareas en este rol para entender lo que hace cada control. Algunas de las tareas son disruptivas y pueden tener consecuencias no deseadas en un sistema de producción en vivo. También, familiarízate con las variables en el archivo defaults/main.yml o la Página de Wiki de Variables Principales.

Dependencias Técnicas:

• Configuración de Ansible/Tower en funcionamiento (este rol se prueba con la versión de Ansible 2.12.1 o superior)
• Entorno de ejecución de Python3 Ansible
• goss >= 0.4.4 (si se utiliza para auditoría)

Auditoría (nuevo)

Esto se puede activar o desactivar dentro del archivo defaults/main.yml con la variable run_audit. El valor es falso por defecto, por favor, consulta la wiki para más detalles.

Esto es un chequeo rápido, muy ligero, para verificar la conformidad de la configuración y las configuraciones en ejecución.

Se ha desarrollado una nueva forma de auditoría, utilizando un pequeño binario (12MB) de Go llamado goss junto con las configuraciones relevantes a verificar. Sin necesidad de infraestructura u otras herramientas. Esta auditoría no solo verificará si la configuración tiene la configuración correcta, sino que también buscará captar si se está ejecutando con esa configuración, intentando eliminar falsos positivos en el proceso.

Consulta UBUNTU22-CIS-Audit.

Más documentación sobre auditoría se puede encontrar en Leer la Documentación

Variables del Rol

Este rol está diseñado para que el usuario final no tenga que editar las tareas por sí mismo. Toda personalización debe hacerse a través del archivo defaults/main.yml o con variables adicionales dentro del proyecto, trabajo, flujo de trabajo, etc.

Ramas

• devel - Esta es la rama por defecto y la rama de desarrollo activa. Las solicitudes de extracción de la comunidad se integrarán en esta rama.
• main - Esta es la rama de liberación.
• reports - Esta es una rama protegida para nuestros informes de puntuación; nunca debe ir código aquí.
• gh-pages - Esta es la rama de las páginas de GitHub.
• todas las demás ramas - Ramas individuales de miembros de la comunidad.

Contribución de la Comunidad

Te animamos a contribuir a este rol. Por favor, lee las reglas a continuación.

• Tu trabajo se realiza en tu propia rama individual. Asegúrate de firmar y GPG firmar todos los commits que pretendas fusionar.
• Todas las solicitudes de extracción de la comunidad se integran en la rama de desarrollo.
• Las solicitudes de extracción en devel confirmarán que tus commits tienen una firma GPG, están firmados y han pasado una prueba funcional antes de ser aprobadas.
• Una vez que tus cambios estén fusionados y se complete una revisión más detallada, un miembro autorizado fusionará tus cambios en la rama principal para una nueva liberación.

Pruebas de la Línea de Procesos

utiliza:

• ansible-core 2.12
• colecciones de ansible - incorpora la última versión basada en el archivo de requisitos
• ejecuta la auditoría usando la rama de desarrollo
• Esta es una prueba automatizada que ocurre en las solicitudes de extracción a devel

Extras Agregados

• pre-commit puede ser probado y ejecutado desde dentro del directorio

pre-commit run