MindPointGroup.amazon2_cis

概要 バージョン 洞察

Amazon Linux 2

Amazon Linux 2 マシンを CIS 準拠に設定する OELでは未検証

こちら のベースに基づいています。CIS Amazon Linux 2 Benchmark v3.0.0 - 2023年12月22日

Org Stars Stars Forks followers Twitter URL

Discord Badge

Release Branch Release Tag Release Date

Main Pipeline Status

Devel Pipeline Status Devel Commits

Issues Open Issues Closed Pull Requests

License

参加しよう

質問をしたり、機能について話し合ったり、他の Ansible-Lockdown ユーザーとチャットしたりするために、Discord サーバーに参加してください。

注意事項

このロールはシステムに変更を加えますので、意図しない結果を招く可能性があります。これは監査ツールではなく、監査が行われた後に使用する修正ツールです。

チェックモードはサポートされていません! チェックモードでエラーなしに完了しますが、サポートされておらず、注意して使用する必要があります。コンプライアンスチェックには、AMAZON2-CIS-Auditロールやコンプライアンススキャナーを使用してください。

このロールは、オペレーティングシステムのクリーンインストールに対して開発されました。既存のシステムに実装する場合は、必要なサイト固有の変更を確認してください。

リリースバージョンを使用するには、メインブランチと作業するCISベンチマークの関連リリースを指してください。

前のリリースからの移行

CISリリースには常に変更がありますので、新しい参照や利用可能な変数を確認することを強くお勧めします。これは、ansible-lockdownの初期リリースから大幅に変更されています。 デフォルトのインタプリタとしてpython3が見つかった場合、これに対応しています。これには、システムを適切に設定するための前提条件があります。

さらに詳しい情報は、変更ログをご覧ください。

ドキュメント

要件

一般的な情報:

  • Ansibleの基本知識。この分野に不慣れな場合は、始めるためのAnsibleのドキュメントリンクをいくつか紹介します。

  • 機能しているAnsibleおよび/またはTowerがインストール、設定、実行されています。これには、すべての基本的なAnsible/Tower設定、必要なパッケージのインストール、およびインフラのセットアップが含まれます。

  • このロールのタスクを確認し、各コントロールの動作を理解してください。一部のタスクは破壊的であり、本番環境に意図しない影響を与える可能性があります。また、デフォルトのmain.ymlファイルや主要変数ウィキページの変数に慣れておいてください。

技術的要件:

  • Ansible/Towerセットアップを実行中(このロールはAnsibleバージョン2.11.1以降でテストされています)
  • Python3のAnsible実行環境
  • python-def - 最初のタスクは、python3とpython2(必要な場合)の前提条件(タグ pre-reqs)を設定します。
    • libselinux-python
    • python3-rpm(py3がrpm pkgを使用するためのパッケージ)
    • jmespath

ロール変数

このロールは、エンドユーザーがタスクを編集する必要がないように設計されています。すべてのカスタマイズは、defaults/main.ymlファイルを介して、またはプロジェクト、ジョブ、ワークフローなどのプロジェクト内での追加変数を通じて行うべきです。これらの変数はこちらの主要変数ウィキページで見つけることができます。すべての変数がそこに説明とともに記載されています。

タグ

追加の制御精度のために多くのタグが利用可能です。各コントロールには、それがスコア付きかスコアなしか、どのOS要素に関連するか、パッチか監査か、ルール番号などを示す独自のタグセットがあります。

以下は、このロール内のコントロールからのタグセクションの例です。この例を使用すると、サービスのタグが付いたすべてのコントロールをスキップするように実行設定をすれば、このタスクがスキップされます。逆に、サービスでタグ付けされたコントロールのみを実行することもできます。

      tags:
      - level1
      - scored
      - avahi
      - services
      - patch
      - rule_2.2.4

ブランチ

  • devel - これはデフォルトのブランチで、作業開発ブランチです。コミュニティのプルリクエストはこのブランチにプルされます。
  • main - これはリリースブランチです。
  • その他すべてのブランチ - 個々のコミュニティメンバーブランチです。

コミュニティ貢献

このロールへの貢献を推奨します。以下のルールをお読みください。

  • あなたの作業は個々のブランチで行います。マージする予定のすべてのコミットに対して、署名とGPG署名を行ってください。
  • すべてのコミュニティのプルリクエストはdevelブランチにプルされます。
  • develへのプルリクエストでは、あなたのコミットがGPG署名済みであること、署名がされていること、機能テストが完了していることを確認します。
  • 変更がマージされ、より詳細なレビューが完了した後、権限のあるメンバーがあなたの変更をメインブランチにマージして新しいリリースを行います。

パイプラインテスト

使用するもの:

  • ansible-core 2.12+
  • ansible コレクション - 要件ファイルに基づいて最新バージョンを取得します。
  • develブランチを使用して監査を実行します。
  • これはdevelへのプルリクエスト時に自動的に行われるテストです。

サポート

これは基本的にコミュニティプロジェクトであり、そのように管理されます。

特別なサポートやカスタマイズセットアップを希望される場合は、以下をご覧ください。

謝辞

素晴らしいコミュニティとそのすべてのメンバーに心から感謝します。

プロジェクトについて

Apply the Amazon Linux 2 CIS controls

role system security cis hardening benchmark compliance amazonlinux complianceascode
インストール
ansible-galaxy install MindPointGroup.amazon2_cis
GitHub リポジトリ
28 スター
22 フォーク
0 オープンな問題
ライセンス
mit
ダウンロード
1.2k
所有者
Ansible Lockdown
Ansible Lockdown is a security baseline automation project sponsored by Mindpoint Group.