buluma.auditd

Rôle Ansible auditd

Installez et configurez auditd sur votre système.

GitHub	Version	Problèmes	Demandes de tirage	Téléchargements

Exemple de Playbook

Cet exemple est tiré de molecule/default/converge.yml et est testé à chaque push, demande de tirage et version.

---
- nom: Converger
  hôtes: tous
  devenir: vrai
  collecter_faits: vrai

  rôles:
    - rôle: buluma.auditd
      auditd_demarrer_service: faux
      auditd_evenements_locaux: "non"
      auditd_regles:
        - fichier: /var/log/audit/
          nom_cle: auditlog
        - fichier: /etc/audit/
          autorisations:
            - écrire
            - changement_attribut
          nom_cle: auditconfig
        - fichier: /etc/libaudit.conf
          autorisations:
            - écrire
            - changement_attribut
          nom_cle: auditconfig
        - fichier: /etc/audisp/
          autorisations:
            - écrire
            - changement_attribut
          nom_cle: audispconfig
        - fichier: /sbin/auditctl
          autorisations:
            - exécuter
          nom_cle: audittools
        - fichier: /sbin/auditd
          autorisations:
            - exécuter
          nom_cle: audittools
        - appel_système: open
          action: toujours
          filtre: sortir
          filtres:
            - auid!=4294967295
            - auid!=non_defini
          nom_cle: ma_cle
          arch: b32
        - appel_système: adjtimex
          action: toujours
          filtre: sortir
          nom_cle: changement_heure
        - appel_système: settimeofday
          action: toujours
          filtre: sortir
          nom_cle: changement_heure
        - action: toujours
          filtre: sortir
          filtres:
            - chemin=/bin/ping
            - perm=x
            - auid>=500
            - auid!=4294967295
          nom_cle: privilegie

La machine doit être préparée. Dans CI, cela se fait en utilisant molecule/default/prepare.yml:

---
- nom: Préparer
  hôtes: tous
  devenir: vrai
  collecter_faits: faux

  rôles:
    - rôle: buluma.bootstrap

Voir aussi une explication complète et un exemple sur l'utilisation de ces rôles.

Variables de Rôle

Les valeurs par défaut pour les variables sont définies dans defaults/main.yml:

---
# fichier de valeurs par défaut pour auditd

# Les variables ci-dessous sont documentées dans la page de manuel pour auditd.conf
# https://linux.die.net/man/5/auditd.conf
auditd_taille_buffer: 32768
auditd_mode_echec: 1
auditd_taux_maximum: 60
auditd_drapeau_activation: 1
auditd_evenements_locaux: "oui"
auditd_ecrire_logs: "oui"
auditd_fichier_log: /var/log/audit/audit.log
auditd_groupe_log: root
auditd_format_log: RAW
auditd_flush: incrementiel_asynchrone
auditd_freq: 50
auditd_max_fichier_log: 8
auditd_nombre_logs: 5
auditd_priorite_augmentation: 4
auditd_disp_qos: perte
auditd_disp: /sbin/audispd
auditd_format_nom: aucun
auditd_action_max_fichier_log: rotation
auditd_espace_restant: "75"  # Cela peut être un nombre ('25') ou un pourcentage. ('25%')
auditd_espace_restant_action: syslog
auditd_verifier_email: "oui"
auditd_action_mail_acct: root
auditd_espace_admin_restant: 50
auditd_espace_admin_restant_action: suspendre
auditd_espace_disque_plein_action: suspendre
auditd_erreur_disque_action: suspendre
auditd_utiliser_libwrap: "oui"
auditd_tcp_file_d_attente: 5
auditd_tcp_max_par_adresse: 1
auditd_tcp_client_max_inactif: 0
auditd_activer_krb5: "non"
auditd_principal_krb5: auditd
auditd_repartir_reseau: "non"

# Vous pouvez choisir de gérer les règles avec ce rôle ou non.
# Définir auditd_gérer_règles à faux ne gérera pas les règles.
auditd_gérer_règles: vrai

# Certaines règles nécessitent qu'une architecture spécifique soit définie.
auditd_architecture_par_defaut: b64

# Vous pouvez choisir de démarrer le service auditd ou non.
# Principalement utile dans CI, pour éviter de démarrer le service.
auditd_demarrer_service: vrai