mablanco.lynis

Descripción general Versiones Perspectivas

mablanco.lynis

Rol de Ansible para desplegar Lynis, una herramienta de auditoría de seguridad de código abierto, desde su repositorio de Git, el archivo tar oficial o los paquetes oficiales de Linux. También programa una auditoría semanal cuyo informe resultante se envía a una cuenta de correo electrónico personalizable.

Recomiendo usar el método 'git' ya que siempre instala la última versión disponible, mientras que solo se debe usar el método 'tar' como una opción alternativa en caso de que la máquina objetivo no tenga un cliente de línea de comandos de git disponible. Si prefieres la mejor integración con tu distribución de Linux, puedes elegir el método 'pkg'.

Variables del Rol

  • lynis_deploy_method: Método de despliegue. Por defecto es 'tar'. Valores aceptados: 'tar', 'git', 'pkg'. Distribuciones de Linux actualmente soportadas: Debian, Ubuntu, RHEL, Fedora, CentOS, openSuSE y SLES.
  • lynis_home: Directorio donde se instalará Lynis. Por defecto es '/opt/lynis'
  • lynis_url: URL para obtener el archivo tar. Por defecto es 'https://cisofy.com/files'
  • lynis_version: Versión del archivo tar a obtener. Actualmente por defecto es '2.7.3'
  • lynis_package: Nombre del archivo tar. Por defecto es 'lynis-{{ lynis_version }}.tar.gz'
  • lynis_git_repo: URL del repositorio Git. Por defecto es 'https://github.com/CISOfy/lynis'
  • lynis_cron_hour: Hora de ejecución del trabajo cron. Por defecto es '6'.
  • lynis_cron_minute: Minuto de ejecución del trabajo cron. Por defecto es '30'.
  • lynis_cron_dow: Día de la semana de ejecución del trabajo cron. Por defecto es '7'.
  • lynis_report_from: Dirección de correo electrónico del remitente para el informe de auditoría semanal. Sin valor por defecto válido.
  • lynis_report_to: Dirección de correo electrónico del receptor para el informe de auditoría semanal. Sin valor por defecto válido.
  • lynis_log_expire: Días antes de que se purguen los registros. Por defecto es '90'.
  • lynis_tests_to_skip: Pruebas a omitir en las auditorías. Sin valor por defecto, llena este campo a tu conveniencia con una lista de códigos de prueba.

Ejemplo de Playbook

Ejemplos de cómo usar este rol, dependiendo del método de despliegue elegido:

- hosts: lynis-tar
  roles:
     - { role: mablanco.lynis, lynis_deploy_method: tar }

- hosts: lynis-git
  roles:
     - { role: mablanco.lynis, lynis_deploy_method: git }

- hosts: lynis-pkg
  roles:
     - { role: mablanco.lynis, lynis_deploy_method: pkg }

También puedes usar la variable lynis_deploy_method en tu inventario de la siguiente manera:

[lynis-tar]
server01

[lynis-tar:vars]
lynis_deploy_method=tar

Si quieres omitir pruebas que no tienen sentido en tus servidores, puedes asignar la variable lynis_tests_to_skip con una lista de códigos de las pruebas en cualquiera de los lugares habituales en Ansible. Por ejemplo, en el archivo 'vars/main.yml':

---
# archivo de variables para mablanco.lynis

lynis_tests_to_skip:
  - SSH-7408
  - KRNL-6000
  - HOME-9350

Licencia

GPLv3

Acerca del proyecto

Lynis security audit tool deployment

role security
Instalar
ansible-galaxy install mablanco.lynis
GitHub repositorio
11 estrellas
2 bifurcaciones
1 problemas abiertos
Licencia
gpl-3.0
Descargas
208
Propietario
Marco Antonio Blanco
DevSecOps & Cloud Engineer, FOSS advocate and Agile supporter.