cis-rhel8

Skonfiguruj serwer RHEL 8, aby spełniał wymagania CIS Benchmarks.

Uważaj przed użyciem tej roli, ponieważ może ona zepsuć Twoje systemy.

Zmienne roli

Element

Istnieje jedna zmienna boolowska dla każdego elementu w formacie cis_rhel8_<sekcja>_<podpunkt1>_<podpunkt2>(_<podpunkt3>)?, która zastosuje lub nie zastosuje odpowiednią naprawę. Domyślnie rola naprawi wszystkie elementy. Upewnij się, że ustawiasz odpowiednie zmienne na false, jeśli Twoje systemy mają specyficzne potrzeby.

Na przykład, jeśli nie chcesz ustawiać hasła do bootloadera (1.5.2 - Upewnij się, że hasło bootloadera jest ustawione), ustaw zmienną cis_rhel8_1_5_2 na false.

Dostosowanie

Dla niektórych elementów możesz skonfigurować jedną lub więcej zmiennych. Na przykład, jeśli zdecydujesz się ustawić hasło do bootloadera, możesz ustawić własne hasło lub zdecydować się na jego reset:

• cis_rhel8_grub_password: mynewsecurepassword (ta zmienna powinna być prawdopodobnie zaszyfrowana)
• cis_rhel8_reset_grub_password: true

Domyślnie te zmienne dostosowujące są ustawione na zalecaną wartość przez CIS Benchmarks.

Przykłady playbooków

Zastosuj wszystkie naprawy używając domyślnych wartości:

$ cat cis.yml
---
- hosts: rhel8_servers
  roles:
    - role: cis-rhel8
$ ansible-playbook cis.yml

Zastosuj tylko sekcję 1 (Inicjalna konfiguracja):

$ cat cis.yml
---
- hosts: rhel8_servers
  vars:
    cis_rhel8_5_2_11: false
  roles:
    - role: cis-rhel8
$ ansible-playbook cis.yml -t section1

Zastosuj tylko elementy poziomu 1, nie naprawiaj kilku elementów (1.4.1 Upewnij się, że AIDE jest zainstalowane i 5.2.6 Upewnij się, że przesyłanie X11 SSH jest wyłączone) oraz dostosuj 5.2.5 Upewnij się, że poziom logowania SSH jest odpowiedni:

$ cat cis.yml
---
- hosts: rhel8_servers
  vars:
    cis_rhel8_1_4_1: false
    cis_rhel8_5_2_6: false
    cis_rhel8_sshd_log_level: DEBUG
  roles:
    - role: cis-rhel8
$ ansible-playbook cis.yml -t level1

Licencja

BSD

Informacje o autorze

Jérémy Bertozzi jeremy.bertozzi@gmail.com