cis-rhel8

RHEL 8サーバーをCISベンチマークに準拠させる設定を行います。

このロールを使用する前に注意してください。システムが壊れる可能性があります。

ロール変数

アイテム

各アイテムに対して、関連する修正を適用するかどうかを指定する1つのブール変数があります。形式は cis_rhel8_<セクション>_<サブアイテム1>_<サブアイテム2>(_<サブアイテム3>)? です。デフォルトでは、すべてのアイテムについて修正が行われます。特定のニーズがあるシステムの場合は、適切な変数をfalseに設定するよう注意してください。

例えば、ブートローダーパスワードの設定を行いたくない場合（_1.5.2 - ブートローダーパスワードが設定されていることを確認_）、変数 cis_rhel8_1_5_2 を false に設定します。

カスタマイズ

いくつかのアイテムについては、1つ以上の変数を設定できます。例えば、ブートローダーパスワードを設定することを決定した場合、自分のパスワードを設定するか、リセットすることができます。

• cis_rhel8_grub_password: mynewsecurepassword（この変数はVaultに格納するのが望ましいでしょう）
• cis_rhel8_reset_grub_password: true

デフォルトでは、これらのカスタマイズ変数はCISベンチマークによって推奨される値に設定されています。

例プレイブック

デフォルトの値を使用してすべての修正を適用します：

$ cat cis.yml
---
- hosts: rhel8_servers
  roles:
    - role: cis-rhel8
$ ansible-playbook cis.yml

セクション1（_初期設定_）のみを適用します：

$ cat cis.yml
---
- hosts: rhel8_servers
  vars:
    cis_rhel8_5_2_11: false
  roles:
    - role: cis-rhel8
$ ansible-playbook cis.yml -t section1

レベル1アイテムのみを適用し、いくつかのアイテム（_1.4.1 AIDEがインストールされていることを確認_と_5.2.6 SSHのX11フォワーディングが無効であることを確認_）の修正を行わず、_5.2.5 SSHのLogLevelが適切であることを確認_をカスタマイズします：

$ cat cis.yml
---
- hosts: rhel8_servers
  vars:
    cis_rhel8_1_4_1: false
    cis_rhel8_5_2_6: false
    cis_rhel8_sshd_log_level: DEBUG
  roles:
    - role: cis-rhel8
$ ansible-playbook cis.yml -t level1

ライセンス

BSD

著者情報

Jérémy Bertozzi jeremy.bertozzi@gmail.com