ansible-lockdown.ubuntu20_cis

概要 バージョン 洞察

Ubuntu 20 CIS

Ubuntu 20マシンをCISに準拠させる

CIS Ubuntu Linux 20.04 LTS ベンチマーク v2.0.1 リリースに基づいています

Org Stars Stars Forks followers Twitter URL

Discord Badge

Release Branch Release Tag Release Date

Main Pipeline Status

Devel Pipeline Status Devel Commits

Issues Open Issues Closed Pull Requests

License

サポートを探していますか?

Lockdown Enterprise

Ansibleサポート

コミュニティ

Discordサーバーで質問したり、機能について話し合ったり、Ansible-Lockdownの他のユーザーとチャットしましょう。

注意事項

このロールはシステムに変更を加えます。これにより問題が発生する可能性があります。これは監査ツールではなく、監査後に使用される修正ツールです。

このロールはクリーンインストールのオペレーティングシステムに対して開発されました。既存のシステムに適用する場合は、必要なサイト固有の変更についてこのロールを確認してください。

ドキュメント

要件

一般:

  • Ansibleの基本知識。このリンクを参考にして始めてください。
  • 機能するAnsibleまたはTowerがインストールされ、設定および動作していること。これには、基本的なAnsible/Tower設定、必要なパッケージのインストール、およびインフラのセットアップが含まれます。
  • このロールのタスクを通じて、各コントロールが何をしているかを理解してください。一部のタスクは破壊的であり、本番システムで予期しない結果を引き起こす可能性があります。また、defaults/main.ymlファイルの変数にも慣れておいてください。

技術的依存関係:

  • Ansible/Towerが実行中(このロールはAnsibleバージョン2.9.1以降でテストされています)
  • Python3 Ansible実行環境

監査(新)

これは、defaults/main.ymlファイル内の変数run_auditでオンまたはオフにできます。デフォルト値はfalseです。詳細についてはウィキを参照してください。

これは、可能な限り、設定準拠と実行中の設定をチェックするための迅速で非常に軽量な方法です。

新しい監査方法が開発されました。これは、関連する設定を確認するために使用される小さな(12MB)Goバイナリであるgossを使っています。インフラやその他のツールは必要ありません。この監査では、設定が正しいだけでなく、その構成で動作しているかどうかも確認し、偽陽性を取り除くことを目指しています。

UBUNTU20-CIS-Auditを参照してください。

さらに、監査のドキュメントはRead The Docsで確認できます。

ロール変数

このロールは、エンドユーザーがタスクを編集する必要がないように設計されています。すべてのカスタマイズはdefaults/main.ymlファイルまたはプロジェクト内の追加変数を通じて行うべきです。

ブランチ

  • devel - デフォルトのブランチで、開発作業用のブランチです。コミュニティのプルリクエストはこのブランチにマージされます。
  • main - リリースブランチです。
  • reports - スコアレポート用の保護されたブランチです。ここにはコードを追加しないでください。
  • gh-pages - GitHub Pages用のブランチです。
  • その他のブランチ - 個々のコミュニティメンバーのブランチです。

コミュニティ貢献

このロールへの貢献を歓迎します。以下のルールを読んでください。

  • あなたの作業は、個別のブランチで行われます。マージするコミットはすべて、署名およびGPG署名を行ってください。
  • コミュニティのプルリクエストは、develブランチにマージされます。
  • develへのプルリクエストは、コミットがGPG署名されており、署名済みであり、機能テストが正常であることを確認します。
  • 変更がマージされた後、詳細なレビューが完了したら、承認されたメンバーがこれらの変更をmainブランチにマージして新しいリリースを作成します。

パイプラインテスト

使用されるもの:

  • ansible-core 2.12
  • ansible コレクション - 要件ファイルに基づいて最新バージョンを取り込みます
  • develブランチを使用して監査を実行します
  • これは、develに対するプルリクエスト時に自動的に行われるテストです

追加のエクストラ

  • pre-commitをテストすることも、ディレクトリ内から実行することもできます。
pre-commit run
プロジェクトについて

Apply the Ubuntu 20 CIS benmarks

role system security cis hardening benchmark compliance complianceascode ubuntu20
インストール
ansible-galaxy install ansible-lockdown.ubuntu20_cis
GitHub リポジトリ
174 スター
64 フォーク
1 オープンな問題
ライセンス
mit
ダウンロード
239
所有者
Ansible Lockdown
Lockdown is a security baseline automation project sponsored by Tyto Athene.