ansible-lockdown.ubuntu20_cis

Aperçu Versions Perspectives

Ubuntu 20 CIS

Configurer une machine Ubuntu 20 pour être conforme aux CIS

Basé sur le CIS Ubuntu Linux 20.04 LTS Benchmark v2.0.1 Publication

Étoiles de l'organisation Étoiles Forks Abonnés URL Twitter

Insigne Discord

Branche de publication Tag de publication Date de publication

Statut de la pipeline principale

Statut de la pipeline de développement Commits de développement

Problèmes ouverts Problèmes fermés Demandes de tirage

Licence

Besoin d'aide ?

Lockdown Enterprise

Support Ansible

Communauté

Rejoignez notre serveur Discord pour poser des questions, discuter des fonctionnalités ou simplement discuter avec d'autres utilisateurs d'Ansible-Lockdown.

Attention

Ce rôle va modifier le système et cela pourrait causer des problèmes. Ce n'est pas un outil d'audit, mais plutôt un outil de remédiation à utiliser après un audit.

Ce rôle a été développé sur une installation propre du système d'exploitation. Si vous l'implémentez sur un système existant, veuillez examiner ce rôle pour des ajustements spécifiques à votre site.

Documentation

Exigences

Général :

  • Connaissances de base sur Ansible. Voici quelques liens vers la documentation d'Ansible pour vous aider à commencer si vous êtes nouveau.
  • Ansible et/ou Tower fonctionnels, installés, configurés et opérationnels. Cela inclut toutes les configurations de base d'Ansible/Tower, les paquets nécessaires installés et la configuration de l'infrastructure.
  • Veuillez lire les tâches de ce rôle pour comprendre ce que chacune fait. Certaines tâches peuvent perturber le système et avoir des conséquences indésirables dans un environnement de production. Familiarisez-vous également avec les variables dans le fichier defaults/main.yml.

Dépendances techniques :

  • Configuration Ansible/Tower en cours (ce rôle est testé avec la version 2.9.1 et plus récente d'Ansible).
  • Environnement d'exécution Ansible avec Python3.

Audit (nouveau)

Cette option peut être activée ou désactivée dans le fichier defaults/main.yml avec la variable run_audit. La valeur par défaut est false. Veuillez consulter le wiki pour plus de détails.

C'est un contrôle de conformité et de paramètres en direct/lancé, beaucoup plus rapide et léger, là où c'est possible.

Une nouvelle forme d'audit a été développée, utilisant un petit binaire go (12 Mo) appelé goss avec les configurations pertinentes pour le contrôle. Pas besoin d'infrastructure ou d'autres outils. Cet audit vérifiera non seulement que la configuration comporte le bon paramètre, mais cherchera également à capturer si elle fonctionne avec cette configuration tout en essayant d'éliminer les faux positifs dans le processus.

Consultez UBUNTU20-CIS-Audit.

La documentation d'audit supplémentaire peut être trouvée sur Lire la documentation.

Variables de rôle

Ce rôle est conçu de sorte que l'utilisateur final n'ait pas à modifier lui-même les tâches. Toute personnalisation doit se faire via le fichier defaults/main.yml ou avec des variables supplémentaires dans le projet, le travail, le flux de travail, etc.

Branches

  • devel - Il s'agit de la branche par défaut et de la branche de développement active. Les demandes de tirage de la communauté seront intégrées dans cette branche.
  • main - Il s'agit de la branche de publication.
  • reports - Il s'agit d'une branche protégée pour nos rapports de notation, aucun code ne devrait jamais y aller.
  • gh-pages - Il s'agit de la branche des pages github.
  • toutes les autres branches - Branches individuelles des membres de la communauté.

Contribution de la communauté

Nous encourageons vous (la communauté) à contribuer à ce rôle. Veuillez lire les règles ci-dessous.

  • Votre travail se fait dans votre propre branche individuelle. Assurez-vous de signer et de signer GPG tous les commits que vous souhaitez fusionner.
  • Toutes les demandes de tirage de la communauté seront intégrées dans la branche de développement.
  • Les demandes de tirage dans devel confirmeront que vos commits ont une signature GPG, sont signés et qu'un test fonctionnel a été effectué avant approbation.
  • Une fois vos modifications fusionnées et un examen plus détaillé terminé, un membre autorisé fusionnera vos modifications dans la branche principale pour une nouvelle publication.

Tests de pipeline

utilise :

  • ansible-core 2.12
  • collections ansible - tire la version la plus récente basée sur le fichier des exigences
  • exécute l'audit en utilisant la branche de développement
  • Il s'agit d'un test automatisé qui se déroule sur les demandes de tirage dans devel.

Extras ajoutés

  • pre-commit peut être testé et lancé depuis le répertoire.
pre-commit run
À propos du projet

Apply the Ubuntu 20 CIS benmarks

role system security cis hardening benchmark compliance complianceascode ubuntu20
Installer
ansible-galaxy install ansible-lockdown.ubuntu20_cis
GitHub référentiel
174 étoiles
64 forks
1 problèmes ouverts
Licence
mit
Téléchargements
239
Propriétaire
Ansible Lockdown
Lockdown is a security baseline automation project sponsored by Tyto Athene.