jbertozzi.cis_rhel8

Aperçu Versions Perspectives

cis-rhel8

État de la construction Rôle Ansible

Configurer un serveur RHEL 8 pour respecter les CIS Benchmarks.

Faites attention avant d'utiliser ce rôle, cela pourrait endommager vos systèmes.

Variables du rôle

Élément

Il y a une variable booléenne par élément cis_rhel8_<section>_<sous-élément1>_<sous-élément2>(_<sous-élément3>)? qui appliquera ou non la correction associée. Par défaut, le rôle corrigera tous les éléments. Faites attention à définir les bonnes variables sur false si vos systèmes ont un besoin spécifique.

Par exemple, si vous ne souhaitez pas configurer un mot de passe de gestionnaire de démarrage (1.5.2 - S'assurer que le mot de passe du gestionnaire de démarrage est défini), définissez la variable cis_rhel8_1_5_2 sur false.

Personnalisation

Pour certains éléments, vous pouvez configurer une ou plusieurs variables. Par exemple, si vous décidez de mettre en place un mot de passe de gestionnaire de démarrage, vous pouvez définir le vôtre ou décider de le réinitialiser avec :

  • cis_rhel8_grub_password: monnouveaumotdepasse (cette variable devrait probablement être sécurisée)
  • cis_rhel8_reset_grub_password: true

Par défaut, ces variables de personnalisation sont définies sur la valeur recommandée par les CIS Benchmarks.

Exemples de Playbooks

Appliquez toutes les corrections en utilisant les valeurs par défaut :

$ cat cis.yml
---
- hosts: rhel8_servers
  roles:
    - role: cis-rhel8
$ ansible-playbook cis.yml

Appliquez uniquement la section 1 (Configuration initiale) :

$ cat cis.yml
---
- hosts: rhel8_servers
  vars:
    cis_rhel8_5_2_11: false
  roles:
    - role: cis-rhel8
$ ansible-playbook cis.yml -t section1

Appliquez uniquement les éléments de niveau 1, ne corrigez pas quelques éléments (1.4.1 S'assurer que AIDE est installé et 5.2.6 S'assurer que le transfert X11 SSH est désactivé) et personnalisez 5.2.5 S'assurer que le niveau de journalisation SSH est approprié :

$ cat cis.yml
---
- hosts: rhel8_servers
  vars:
    cis_rhel8_1_4_1: false
    cis_rhel8_5_2_6: false
    cis_rhel8_sshd_log_level: DEBUG
  roles:
    - role: cis-rhel8
$ ansible-playbook cis.yml -t level1

Licence

BSD

Informations sur l'auteur

Jérémy Bertozzi jeremy.bertozzi@gmail.com

À propos du projet

Apply CIS guideline for rhel8

role cis hardening rhel8 system
Installer
ansible-galaxy install jbertozzi.cis_rhel8
GitHub référentiel
9 étoiles
5 forks
6 problèmes ouverts
Licence
Unknown
Téléchargements
755
Propriétaire