mablanco.lynis

Lynisというオープンソースのセキュリティ監査ツールを、Gitリポジトリ、公式のtarアーカイブ、または公式のLinuxパッケージからデプロイするためのAnsibleロールです。また、結果報告がカスタマイズ可能なメールアカウントに送信される毎週の監査をスケジュールします。

最新のバージョンを常にインストールするため、‘git’ メソッドの使用をお勧めします。もしターゲットマシンにgit CLIクライアントがない場合に備えて、‘tar’ メソッドをフォールバックとして利用できます。また、Linuxディストリビューションとの最高の統合を望む場合は、‘pkg’ メソッドを選ぶことができます。

ロール変数

• lynis_deploy_method: デプロイ方法。デフォルトは_‘tar’_。受け入れられる値: ‘tar’, ‘git’, _‘pkg’_。現在サポートされているLinuxディストリビューション: Debian, Ubuntu, RHEL, Fedora, CentOS, openSuSE, SLES。
• lynis_home: Lynisをインストールするディレクトリ。デフォルトは_'/opt/lynis'_
• lynis_url: tarアーカイブを取得するためのURL。デフォルトは_'https://cisofy.com/files'_
• lynis_version: 取得するtarアーカイブのバージョン。現在のデフォルトは_‘2.7.3’_
• lynis_package: tarアーカイブの名前。デフォルトは_‘lynis-{{ lynis_version }}.tar.gz’_
• lynis_git_repo: GitリポジトリのURL。デフォルトは_'https://github.com/CISOfy/lynis'_
• lynis_cron_hour: cronジョブの実行時刻（時間）。デフォルトは_‘6’_。
• lynis_cron_minute: cronジョブの実行時刻（分）。デフォルトは_‘30’_。
• lynis_cron_dow: cronジョブの実行曜日。デフォルトは_‘7’_。
• lynis_report_from: 週次監査レポートの送信者メールアドレス。無効なデフォルトなし。
• lynis_report_to: 週次監査レポートの受信者メールアドレス。無効なデフォルトなし。
• lynis_log_expire: ログが削除されるまでの日数。デフォルトは_‘90’_。
• lynis_tests_to_skip: 監査実行時にスキップするテスト。デフォルトなし。テストコードのリストを適宜記入してください。

例プレイブック

選択したデプロイ方法に応じて、このロールの使用例です：

- hosts: lynis-tar
  roles:
     - { role: mablanco.lynis, lynis_deploy_method: tar }

- hosts: lynis-git
  roles:
     - { role: mablanco.lynis, lynis_deploy_method: git }

- hosts: lynis-pkg
  roles:
     - { role: mablanco.lynis, lynis_deploy_method: pkg }

以下のようにインベントリでlynis_deploy_method変数を使用することもできます：

[lynis-tar]
server01

[lynis-tar:vars]
lynis_deploy_method=tar

サーバーに意味のないテストをスキップしたい場合は、lynis_tests_to_skip変数にテストコードのリストをアンサブルの一般的な場所に割り当てることができます。例えば、_‘vars/main.yml’_ファイルに以下のように記述します：

---
# mablanco.lynisのためのvarsファイル

lynis_tests_to_skip:
  - SSH-7408
  - KRNL-6000
  - HOME-9350

ライセンス

GPLv3