theforeman.foreman_scap_client

Aperçu Versions Perspectives

Rôle Ansible pour le client SCAP de Foreman Statut de construction

Le rôle Ansible pour le client SCAP de Foreman configure le foreman_scap_client pour effectuer des analyses et télécharger les résultats sur le proxy de Foreman.

Configuration

Ce rôle installera automatiquement le foreman_scap_client (s'il n'est pas déjà installé), configurera le fichier /etc/foreman_scap_client/config.yaml avec les paramètres nécessaires au fonctionnement du foreman_scap_client et créera une tâche cron pour planifier l'exécution du client.

Variables

  • 'foreman_scap_client_state': état du package rubygem-foreman_scap_client
  • 'foreman_scap_client_package': nom du package s'il est différent de l'option par défaut (rubygem-foreman_scap_client pour el7/suse ou ruby-foreman-scap-client pour debian/ubuntu)
  • 'foreman_scap_client_server': configure le serveur proxy
  • 'foreman_scap_client_port': configure le port du serveur proxy
  • 'foreman_scap_client_policies': tableau de politiques à configurer
  • 'foreman_scap_client_ca_cert_path': chemin vers le fichier de l'autorité de certification qui a émis le certificat du client
  • 'foreman_scap_client_host_cert_path': chemin vers le certificat d'hôte, peut être le certificat de l'agent puppet ou le certificat katello
  • 'foreman_scap_client_host_private_key_path': chemin vers la clé privée de l'hôte, peut être la clé privée de l'agent puppet ou la clé privée katello
  • 'foreman_scap_client_release': quelle version configurer pour un repo
  • 'foreman_scap_client_repo_url': URL du dépôt avec rubygem-foreman_scap_client
  • 'foreman_scap_client_apt_repo_url': dépôt basé sur Debian fournissant le client scap et le gestionnaire d'abonnement
  • 'foreman_scap_client_repo_state': état du dépôt
  • 'foreman_scap_client_repo_key': fichier source de la clé RPM pour le dépôt foreman-plugins. Remarque : Actuellement, les paquets ne sont pas signés. À moins qu'un fichier source alternatif ne soit défini, l'URL sera utilisée.
  • 'foreman_scap_client_repo_gpg': activer/désactiver les vérifications GPG
  • 'foreman_scap_client_cron_template': chemin vers le modèle cron
  • 'foreman_scap_client_cron_splay_seed': graine pour le temps de décalage de la tâche cron afin de générer des nombres aléatoires mais idempotents
  • 'foreman_scap_client_cron_splay': limite supérieure pour le temps de décalage des tâches cron
  • 'foreman_scap_client_fetch_remote_resources': s'il faut récupérer les ressources référencées depuis un emplacement distant
  • 'foreman_scap_client_http_proxy_server': serveur proxy HTTP
  • 'foreman_scap_client_http_proxy_port': port du proxy HTTP
  • 'foreman_scap_client_ciphers': liste optionnelle de chiffres pour la négociation de connexion. Exemple : ["AES256-SHA:AES128-SHA:DES-CBC3-SHA"]

Exemple d'utilisation

L'exemple suivant s'assure qu'un audit SCAP est exécuté chaque semaine et que les résultats sont envoyés au proxy à proxy.example.com:9090. L'exemple tentera automatiquement d'installer le foreman_scap_client sur le système. Si vous ne souhaitez pas utiliser votre fichier de personnalisation avec la politique, il suffit de passer des chaînes vides aux variables de personnalisation.

---
-tes: tous
  devenir: vrai
  rôles:
    - theforeman.foreman_scap_client
  vars:
    foreman_scap_client_server: https://proxy.example.com
    foreman_scap_client_port: 9090
    foreman_scap_client_policies: [{
      "id": "1",
      "hour": "12",
      "minute": "1",
      "month": "*",
      "monthday": "*",
      "weekday": "1",
      "profile_id": "",
      "content_path": "/usr/share/xml/scap/ssg/fedora/ssg-fedora-ds.xml",
      "download_path": "/compliance/policies/1/content",
      "tailoring_path": "/var/lib/openscap/ssg-fedora-ds-tailored.xml",
      "tailoring_download_path": "/compliance/policies/1/tailoring"
    }]
}

Utilisation avec foreman_openscap

Lors de l'utilisation de ce rôle avec foreman_openscap, aucune configuration supplémentaire ne devrait être nécessaire car les valeurs proviennent de l'ENC de Foreman. Cependant, vérifiez les valeurs pour le serveur, le port et les politiques après l'importation du rôle ; elles devraient avoir les remplacements activés et les politiques devraient être <%= @host.policies_enc %>

Tests

Des tests sont configurés pour s'exécuter dans Docker en utilisant Molecule et Testinfra. Assurez-vous d'installer les dépendances :

pip install -r requirements.txt

Vérifiez si votre utilisateur actuel peut se connecter à Docker sans sudo. Sinon, créez un groupe docker et ajoutez votre utilisateur. Pour exécuter des tests :

molecule test

Publication sur ansible-galaxy

Galaxy importe le contenu depuis GitHub et utilise des tags git pour la version. Galaxy s'attend à ce que les tags aient un format de version sémantique.

À propos du projet

Installs and configures foreman_scap_client

role rhel centos ubuntu debian openscap
Installer
ansible-galaxy install theforeman.foreman_scap_client
GitHub référentiel
4 étoiles
15 forks
15 problèmes ouverts
Licence
gpl-3.0
Téléchargements
132.1k
Propriétaire