ansible-lockdown.ubuntu22_cis

概要 バージョン 洞察

Ubuntu 22 CIS

Ubuntu 22マシンをCISに準拠させる方法

CIS Ubuntu Linux 22.04 LTS ベンチマーク v1.0.0 に基づくリリース

Org Stars Stars Forks followers Twitter URL

Discord Badge

Release Branch Release Tag Release Date

Main Pipeline Status

Devel Pipeline Status Devel Commits

Issues Open Issues Closed Pull Requests

License

サポートを探していますか?

Lockdown Enterprise

Ansible サポート

コミュニティ

質問をしたり、機能について話し合ったり、他のAnsible-Lockdownユーザーとチャットするために、Discordサーバーに参加してください。

注意事項

このロールはシステムに変更を加えますので、あらゆる動作が壊れる可能性があります。これは監査ツールではなく、監査後に使用する修復ツールです。

このロールは、オペレーティングシステムのクリーンインストールを基に開発されました。既存のシステムに適用する場合は、サイト固有の変更が必要かどうかを確認してください。

ドキュメント

要件

一般的な要件:

  • Ansibleの基本知識が必要です。以下のリンクはAnsibleのドキュメントで、始める助けになります。
  • Ansibleおよび/またはTowerが動作し、設定され、稼働中であること。これには、基本的なAnsible/Towerの設定、必要なパッケージのインストール、およびインフラの設定が含まれます。
  • このロールのタスクを読み、各コントロールが何をしているかを理解してください。一部のタスクは破壊的であり、実稼働システムで意図しない結果を招く可能性があります。また、デフォルトのmain.ymlファイルまたはメイン変数Wikiページの変数にも慣れてください。

技術的依存関係:

  • Ansible/Towerのセットアップが動作していること(このロールはAnsibleバージョン2.12.1以降でテストされています)
  • Python3 Ansible実行環境
  • goss >= 0.4.4(監査に使用する場合)

監査 (新機能)

デフォルトのmain.ymlファイル内の変数run_auditでオンまたはオフにできます。デフォルトではfalseとなっています。詳細はWikiを参照してください。

これは、設定コンプライアンスとライブ/稼働設定を(可能な場合)チェックする、非常に軽量で迅速な監査です。

新しい監査形式が開発されました。これはgossと呼ばれる小さな(12MB)Goバイナリを使用して、必要な設定を確認します。インフラや他のツールは必要ありません。この監査は、設定が正しいかをチェックするだけでなく、その設定で実行されているかを確認し、偽陽性を排除することを目指しています。

UBUNTU22-CIS-Auditを参照してください。

さらに監査に関する文書は、Read The Docsにあります。

ロール変数

このロールは、エンドユーザーがタスクを編集する必要がないように設計されています。すべてのカスタマイズは、defaults/main.ymlファイルまたはプロジェクト、ジョブ、ワークフローなどの追加変数を通じて行うべきです。

ブランチ

  • devel - デフォルトのブランチで、開発の作業ブランチです。コミュニティからのプルリクエストはこのブランチに取り込まれます。
  • main - リリースブランチです。
  • reports - スコアレポート用の保護されたブランチで、ここにコードを追加してはいけません。
  • gh-pages - GitHubページ用のブランチです。
  • その他のブランチ - 個々のコミュニティメンバーのブランチです。

コミュニティ貢献

コミュニティの皆さんにはこのロールに貢献することを奨励します。以下のルールを確認してください。

  • 自分の個別のブランチで作業すること。マージを意図するすべてのコミットには、署名とGPG署名をつけてください。
  • すべてのコミュニティのプルリクエストはdevelブランチに取り込まれます。
  • develへのプルリクエストでは、コミットにGPG署名があり、署名済みで、機能テストが行われたことを確認します。
  • 変更がマージされ、詳細なレビューが完了した後、承認されたメンバーがあなたの変更をmainブランチにマージし、新しいリリースを行います。

パイプラインテスト

使用するもの:

  • ansible-core 2.12
  • ansibleコレクション - 要件ファイルに基づいて最新バージョンを取り込みます。
  • develブランチを使用して監査を実行します。
  • これはdevelへのプルリクエストで自動的に行われるテストです。

追加のエクストラ

  • pre-commitはテスト可能で、ディレクトリ内から実行できます。
pre-commit run
プロジェクトについて

Apply the Ubuntu 22 CIS benchmarks

role system security cis hardening benchmark compliance complianceascode ubuntu22
インストール
ansible-galaxy install ansible-lockdown.ubuntu22_cis
GitHub リポジトリ
170 スター
74 フォーク
6 オープンな問題
ライセンス
mit
ダウンロード
2.1k
所有者
Ansible Lockdown
Ansible Lockdown is a security baseline automation project sponsored by Mindpoint Group.