ansible-lockdown.ubuntu22_cis

Aperçu Versions Perspectives

Ubuntu 22 CIS

Configurer une machine Ubuntu 22 pour être conforme au CIS

Basé sur le CIS Ubuntu Linux 22.04 LTS Benchmark v1.0.0 Version

Org Stars Stars Forks followers Twitter URL

Discord Badge

Release Branch Release Tag Release Date

Statut du pipeline principal

Statut du pipeline de développement Commits de développement

Issues ouvertes Issues fermées Demandes de tirage

Licence

Besoin de soutien ?

Lockdown Enterprise

Support Ansible

Communauté

Rejoignez-nous sur notre serveur Discord pour poser des questions, discuter des fonctionnalités ou simplement discuter avec d'autres utilisateurs d'Ansible-Lockdown.

Attention(s)

Ce rôle va apporter des modifications au système qui pourraient causer des problèmes. Ce n'est pas un outil d'audit, mais plutôt un outil de remédiation à utiliser après avoir effectué un audit.

Ce rôle a été développé sur une installation propre du système d'exploitation. Si vous l'implémentez sur un système existant, veuillez examiner ce rôle pour toute modification spécifique au site qui pourrait être nécessaire.

Documentation

Exigences

Général :

  • Connaissance de base d'Ansible, ci-dessous quelques liens vers la documentation d'Ansible pour aider à commencer si vous ne connaissez pas Ansible :
  • Ansible et/ou Tower fonctionnels, installés, configurés et opérationnels. Cela inclut toutes les configurations de base d'Ansible/Tower, les packages nécessaires installés et la mise en place de l'infrastructure.
  • Veuillez lire les tâches de ce rôle pour comprendre ce que chaque contrôle fait. Certaines des tâches peuvent être perturbatrices et avoir des conséquences imprévues dans un système de production en direct. Familiarisez-vous également avec les variables dans le fichier defaults/main.yml ou la Page Wiki des Variables Principales.

Dépendances Techniques :

  • Installation fonctionnelle d'Ansible/Tower (ce rôle est testé contre Ansible version 2.12.1 et plus récente)
  • Environnement d'exécution Python3 pour Ansible
  • goss >= 0.4.4 (Si utilisé pour l'audit)

Audit (nouveau)

Ceci peut être activé ou désactivé dans le fichier defaults/main.yml avec la variable run_audit. La valeur est false par défaut, veuillez vous référer au wiki pour plus de détails.

C'est une vérification beaucoup plus rapide et très légère, vérifiant la conformité des configurations et les paramètres en direct.

Une nouvelle méthode d'audit a été développée, utilisant un petit binaire go (12 Mo) appelé goss avec les configurations pertinentes à vérifier. Sans besoin d'infrastructure ou d'autres outils. Cet audit examinera non seulement si la configuration a le bon paramètre, mais vise également à vérifier si elle fonctionne avec cette configuration, en essayant d'éliminer les faux positifs dans le processus.

Référez-vous à UBUNTU22-CIS-Audit.

Une documentation d'audit supplémentaire peut être trouvée sur Lire La Documentation

Variables du Rôle

Ce rôle est conçu pour que l'utilisateur final n'ait pas à modifier les tâches lui-même. Toute personnalisation doit être faite via le fichier defaults/main.yml ou avec des variables supplémentaires dans le projet, le travail, le workflow, etc.

Branches

  • devel - C'est la branche par défaut et la branche de développement active. Les demandes de tirage de la communauté seront intégrées dans cette branche.
  • main - C'est la branche de publication.
  • reports - C'est une branche protégée pour nos rapports de notation, aucun code ne doit jamais s'y trouver.
  • gh-pages - C'est la branche des pages GitHub.
  • toutes les autres branches - Branches individuelles des membres de la communauté.

Contribution de la Communauté

Nous encourageons (la communauté) à contribuer à ce rôle. Veuillez lire les règles ci-dessous.

  • Votre travail se fait dans votre propre branche individuelle. Assurez-vous de signer et de signer GPG tous les commits que vous comptez fusionner.
  • Toutes les demandes de tirage de la communauté sont intégrées dans la branche de développement.
  • Les demandes de tirage dans le développement confirmeront que vos commits ont une signature GPG, sont signés et ont passé un test fonctionnel avant d'être approuvés.
  • Une fois vos modifications fusionnées et un examen plus détaillé terminé, un membre autorisé fusionnera vos modifications dans la branche principale pour une nouvelle publication.

Tests de Pipeline

Utilise :

  • ansible-core 2.12
  • collections Ansible - télécharge la dernière version basée sur le fichier de exigences
  • exécute l'audit en utilisant la branche de développement
  • C'est un test automatisé qui se produit sur les demandes de tirage dans la branche de développement

Extras Ajoutés

  • pre-commit peut être testé et lancé depuis le répertoire.
pre-commit run
À propos du projet

Apply the Ubuntu 22 CIS benchmarks

role system security cis hardening benchmark compliance complianceascode ubuntu22
Installer
ansible-galaxy install ansible-lockdown.ubuntu22_cis
GitHub référentiel
170 étoiles
74 forks
6 problèmes ouverts
Licence
mit
Téléchargements
2.1k
Propriétaire
Ansible Lockdown
Ansible Lockdown is a security baseline automation project sponsored by Mindpoint Group.