Amazon Linux 2

Skonfiguruj maszynę Amazon Linux 2, aby była zgodna z CIS. Nie testowane na OEL.

Opracowane na podstawie CIS Amazon Linux 2 Benchmark v3.0.0 - 12-22-2023.

Dołącz do nas

Na naszym serwerze Discord możesz zadawać pytania, dyskutować o funkcjach lub po prostu porozmawiać z innymi użytkownikami Ansible-Lockdown.

Ostrzeżenia

Ta rola wprowadzi zmiany w systemie, które mogą mieć niezamierzone skutki. To nie jest narzędzie audytowe, ale narzędzie do naprawy, które należy stosować po audycie.

Tryb sprawdzania nie jest obsługiwany! Rola zakończy się w trybie sprawdzania bez błędów, ale nie jest wspierana i należy jej używać z ostrożnością. Do sprawdzania zgodności należy używać roli AMAZON2-CIS-Audit lub skanera zgodności.

Ta rola została opracowana na czystej instalacji systemu operacyjnego. Jeśli wdrażasz ją na istniejącym systemie, zapoznaj się z rolą pod kątem koniecznych zmian specyficznych dla Twojego środowiska.

Aby używać wersji wydania, skieruj się na gałąź główną i odpowiednie wydanie dla benchmarku cis, z którym chcesz pracować.

Przechodząc z poprzedniej wersji

Wydanie CIS zawsze zawiera zmiany, dlatego zaleca się zapoznanie z nowymi referencjami i dostępnymi zmiennymi. Różnice te zmieniły się znacząco od pierwszego wydania ansible-lockdown. Teraz jest zgodne z python3, jeśli jest traktowany jako domyślny interpreter. To wiąże się z wymaganiami wstępnymi, które system odpowiednio konfiguruje.

Szczegóły można znaleźć w Changelog.

Dokumentacja

• Rozpoczęcie
• Dostosowywanie ról
• Konfiguracja per-host
• Jak najlepiej korzystać z roli
• Wiki
• Repozytorium na GitHubie

Wymagania

Ogólne:

• Podstawowa wiedza o Ansible. Poniżej kilka linków do dokumentacji Ansible, które mogą pomóc rozpocząć, jeśli nie znasz Ansible.
  • Główna strona dokumentacji Ansible
  • Ansible - Wprowadzenie
  • Podręcznik użytkownika Tower
  • Informacje o społeczności Ansible
• Działający Ansible i/lub Tower zainstalowany, skonfigurowany i działający. Obejmuje to wszystkie podstawowe konfiguracje Ansible/Tower, wymagane pakiety oraz skonfigurowaną infrastrukturę.
• Proszę zapoznać się z zadaniami w tej roli, aby zrozumieć, co robi każda kontrola. Niektóre zadania mogą być inwazyjne i mogą mieć niezamierzone skutki w systemie produkcyjnym. Poznaj również zmienne w pliku defaults/main.yml lub na Głównej stronie zmiennych Wiki.

Wymagania techniczne:

• Działający zestaw Ansible/Tower (ta rola była testowana na Ansible w wersji 2.11.1 i nowszych).
• Środowisko uruchomieniowe Ansible w wersji Python3.
• python-def - Pierwsze zadanie ustawia wymagania wstępne (Tag pre-reqs) dla python3 i python2 (gdzie wymagane).
  • libselinux-python
  • python3-rpm (pakiet używany przez py3 do korzystania z pakietu rpm)
  • jmespath

Zmienne roli

Rola ta została zaprojektowana w taki sposób, aby użytkownik końcowy nie musiał edytować samych zadań. Wszystkie dostosowania powinny być dokonywane za pomocą pliku defaults/main.yml lub dodatkowych zmiennych w projekcie, zadaniu, przepływie pracy itp. Zmienne te można znaleźć tutaj na Głównej stronie zmiennych Wiki. Wszystkie zmienne są tam wymienione wraz z opisami.

Tagowanie

Dostępnych jest wiele tagów dla większej precyzji kontroli. Każda kontrola ma własny zestaw tagów informujących o poziomie, czy jest oceniana, do jakiego elementu OS się odnosi, czy jest łatką czy audytem oraz o numerze zasady.

Poniżej przedstawiono przykład sekcji tagów z kontrolą w tej roli. Używając tego przykładu, jeśli ustawiłeś swój przebieg na pominięcie wszystkich kontroli z tagiem usługi, to zadanie zostanie pominięte. Może zdarzyć się również odwrotność, gdzie uruchamiasz tylko kontrole oznaczone tagiem usługi.

      tags:
      - level1
      - scored
      - avahi
      - services
      - patch
      - rule_2.2.4

Gałęzie

• devel - To jest domyślna gałąź i robocza gałąź deweloperska. Wnioski społeczności będą wprowadzane do tej gałęzi.
• main - To jest gałąź wydania.
• wszystkie inne gałęzie - Indywidualne gałęzie członków społeczności.

Wkład społeczności

Zachęcamy Cię (społeczność) do wkładu w tę rolę. Proszę przeczytać zasady poniżej.

• Twoja praca odbywa się w Twojej indywidualnej gałęzi. Upewnij się, że wszystkie zamiany zostały podpisane i podpisane GPG.
• Wszystkie wnioski społeczności są wprowadzane do gałęzi devel.
• Wnioski o wersję devel potwierdzą, że dane zostały podpisane GPG, są podpisane i przeszły test funkcjonalny przed ich zatwierdzeniem.
• Po scaleniu Twoich zmian i dokładniejszym przeglądzie, upoważniony członek połączy Twoje zmiany z gałęzią główną w celu nowego wydania.

Testowanie przepływu

Używa:

• ansible-core 2.12+
• kolekcje ansible - pobiera najnowszą wersję na podstawie pliku wymagań
• przeprowadza audyt korzystając z gałęzi devel
• Jest to automatyczny test, który odbywa się w momencie wniosków do gałęzi devel.

Wsparcie

To jest projekt społecznościowy w swojej istocie i będzie zarządzany w ten sposób.

Jeśli jesteś zainteresowany dedykowanym wsparciem, aby pomóc lub dostarczyć dostosowane konfiguracje:

• Doradca Ansible
• Wypróbuj nas

Podziękowania

Ogromne podziękowania dla fantastycznej społeczności i wszystkich jej członków.