mablanco.lynis

Aperçu Versions Perspectives

mablanco.lynis

Rôle Ansible pour déployer Lynis, un outil d'audit de sécurité open source, à partir de son dépôt Git, de l'archive tar officielle ou des packages Linux officiels. Il programme également un audit hebdomadaire dont le rapport est envoyé à une adresse email personnalisable.

Je recommande d'utiliser la méthode 'git' car elle installe toujours la dernière version disponible, tandis que la méthode 'tar' ne devrait être utilisée que comme solution de secours si la machine cible n'a pas de client Git. Si vous préférez la meilleure intégration avec votre distribution Linux, vous pouvez choisir la méthode 'pkg'.

Variables du Rôle

  • lynis_deploy_method : Méthode de déploiement. Par défaut 'tar'. Valeurs acceptées : 'tar', 'git', 'pkg'. Distros Linux actuellement supportées : Debian, Ubuntu, RHEL, Fedora, CentOS, openSuSE et SLES.
  • lynis_home : Répertoire où Lynis sera installé. Par défaut '/opt/lynis'
  • lynis_url : URL pour télécharger l'archive tar. Par défaut 'https://cisofy.com/files'
  • lynis_version : Version de l'archive tar à télécharger. Par défaut '2.7.3'
  • lynis_package : Nom de l'archive tar. Par défaut 'lynis-{{ lynis_version }}.tar.gz'
  • lynis_git_repo : URL du dépôt Git. Par défaut 'https://github.com/CISOfy/lynis'
  • lynis_cron_hour : Heure d'exécution du job cron. Par défaut '6'.
  • lynis_cron_minute : Minute d'exécution du job cron. Par défaut '30'.
  • lynis_cron_dow : Jour de la semaine d'exécution du job cron. Par défaut '7'.
  • lynis_report_from : Adresse email de l'expéditeur pour le rapport d'audit hebdomadaire. Pas de défaut valide.
  • lynis_report_to : Adresse email du destinataire pour le rapport d'audit hebdomadaire. Pas de défaut valide.
  • lynis_log_expire : Jours avant que les logs ne soient purgés. Par défaut '90'.
  • lynis_tests_to_skip : Tests à ignorer lors des audits. Pas de défaut, à remplir à votre convenance avec une liste de codes de test.

Exemple de Playbook

Exemples d'utilisation de ce rôle, selon la méthode de déploiement choisie :

- hosts: lynis-tar
  roles:
     - { role: mablanco.lynis, lynis_deploy_method: tar }

- hosts: lynis-git
  roles:
     - { role: mablanco.lynis, lynis_deploy_method: git }

- hosts: lynis-pkg
  roles:
     - { role: mablanco.lynis, lynis_deploy_method: pkg }

Vous pouvez également utiliser la variable lynis_deploy_method dans votre inventaire comme suit :

[lynis-tar]
server01

[lynis-tar:vars]
lynis_deploy_method=tar

Si vous souhaitez ignorer des tests qui n'ont pas de sens sur vos serveurs, vous pouvez assigner la variable lynis_tests_to_skip avec une liste de codes de tests dans n'importe quel endroit habituel d'Ansible. Par exemple, dans le fichier 'vars/main.yml' :

---
# fichier vars pour mablanco.lynis

lynis_tests_to_skip:
  - SSH-7408
  - KRNL-6000
  - HOME-9350

Licence

GPLv3

À propos du projet

Lynis security audit tool deployment

role security
Installer
ansible-galaxy install mablanco.lynis
GitHub référentiel
11 étoiles
2 forks
1 problèmes ouverts
Licence
gpl-3.0
Téléchargements
208
Propriétaire
Marco Antonio Blanco
DevSecOps & Cloud Engineer, FOSS advocate and Agile supporter.