Rola Ansible dla linux auditd

Rola Ansible do konfiguracji i ustawienia linux auditd.

Możliwe wizualizacje z R.

Wymagania i zależności

Ansible

Testowano na następujących wersjach:

• 2.2
• 2.5
• 2.10

Systemy operacyjne

• Ubuntu 16.04, 18.04, 20.04
• Centos 7, 8
• Suse 12.x, 15.x

Przykładowy Playbook

Po prostu dodaj tę rolę do swojej listy. Na przykład

- hosts: all
  roles:
    - juju4.auditd

Zmienne

Na razie nic specyficznego.

Ciągła integracja

Ta rola ma podstawowy test travis (dla githuba), bardziej zaawansowane testy z kitchen oraz Vagrantfile (test/vagrant). Domyślna konfiguracja kitchen (.kitchen.yml) oparta jest na lxd, natomiast (.kitchen.vagrant.yml) jest oparta na vagrant/virtualbox.

Po upewnieniu się, że wszystkie niezbędne role są obecne, możesz przetestować za pomocą:

$ gem install kitchen-ansible kitchen-lxd_cli kitchen-sync kitchen-vagrant
$ cd /path/to/roles/juju4.auditd
$ kitchen verify
$ kitchen login
$ KITCHEN_YAML=".kitchen.vagrant.yml" kitchen verify

lub

$ cd /path/to/roles/juju4.auditd/test/vagrant
$ vagrant up
$ vagrant ssh

Rozwiązywanie problemów i znane problemy

• Ponieważ auditd jest powiązany z jądrem, rola nie wprowadzi żadnych zmian, gdy jest uruchamiana w kontenerach.

• watchdog: BUG: soft lockup - CPU#0 stuck for Xs! [kauditd:22], audit: backlog limit exceeded, audit: kauditd hold queue overflow obserwowane nawet z grub audit_backlog_limit=8192 dodana zmienna auditd_grub_enable z domyślną wartością false. Używaj ostrożnie. kauditd hold queue overflow w 4.11, wrzesień 2017 Przepełnienie zdarzeń podczas uruchamiania, maj 2017

Odnośniki

• https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Security_Guide/chap-system_auditing.html
• https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Security_Guide/sec-starting_the_audit_service.html
• https://github.com/bfuzzy/auditd-attack
• https://github.com/Neo23x0/auditd/

Licencja

BSD 2-klausowa