mablanco.lynis

Przegląd Wersje Wgląd

mablanco.lynis

Role Ansible do wdrażania Lynis, narzędzia do audytu bezpieczeństwa typu open source, z repozytorium Git, oficjalnego archiwum tar lub oficjalnych pakietów dla systemu Linux. Ustawia również tygodniowy audyt, a jego raport jest wysyłany na konfigurowalny adres e-mail.

Zalecam korzystanie z metody 'git', ponieważ zawsze instaluje najnowszą dostępną wersję, a metodę 'tar' traktuję jako opcję awaryjną, jeśli na docelowej maszynie nie ma dostępnego klienta Git. Jeśli preferujesz najlepszą integrację ze swoją dystrybucją Linux, możesz wybrać metodę 'pkg'.

Zmienne roli

  • lynis_deploy_method: Metoda wdrożenia. Domyślnie 'tar'. Przyjmowane wartości: 'tar', 'git', 'pkg'. Wspierane dystrybucje Linux: Debian, Ubuntu, RHEL, Fedora, CentOS, openSuSE i SLES.
  • lynis_home: Katalog, w którym zostanie zainstalowany Lynis. Domyślnie '/opt/lynis'
  • lynis_url: URL, z którego pobierane jest archiwum tar. Domyślnie 'https://cisofy.com/files'
  • lynis_version: Wersja archiwum tar do pobrania. Domyślnie '2.7.3'
  • lynis_package: Nazwa archiwum tar. Domyślnie 'lynis-{{ lynis_version }}.tar.gz'
  • lynis_git_repo: URL repozytorium Git. Domyślnie 'https://github.com/CISOfy/lynis'
  • lynis_cron_hour: Godzina wykonania zadania cron. Domyślnie '6'.
  • lynis_cron_minute: Minuta wykonania zadania cron. Domyślnie '30'.
  • lynis_cron_dow: Dzień tygodnia wykonania zadania cron. Domyślnie '7'.
  • lynis_report_from: Adres e-mail nadawcy dla tygodniowego raportu audytu. Brak domyślnej wartości.
  • lynis_report_to: Adres e-mail odbiorcy dla tygodniowego raportu audytu. Brak domyślnej wartości.
  • lynis_log_expire: Liczba dni przed usunięciem logów. Domyślnie '90'.
  • lynis_tests_to_skip: Testy do pominięcia w audytach. Brak domyślnej wartości, wypełnij ją listą kodów testów według uznania.

Przykładowy Playbook

Przykłady użycia tej roli, w zależności od wybranej metody wdrożenia:

- hosts: lynis-tar
  roles:
     - { role: mablanco.lynis, lynis_deploy_method: tar }

- hosts: lynis-git
  roles:
     - { role: mablanco.lynis, lynis_deploy_method: git }

- hosts: lynis-pkg
  roles:
     - { role: mablanco.lynis, lynis_deploy_method: pkg }

Możesz również użyć zmiennej lynis_deploy_method w swoim inwentarzu w następujący sposób:

[lynis-tar]
server01

[lynis-tar:vars]
lynis_deploy_method=tar

Jeśli chcesz pominąć testy, które nie mają sensu na twoich serwerach, możesz przypisać zmienną lynis_tests_to_skip z listą kodów testów w dowolnym z typowych miejsc w Ansible. Na przykład w pliku 'vars/main.yml':

---
# plik vars dla mablanco.lynis

lynis_tests_to_skip:
  - SSH-7408
  - KRNL-6000
  - HOME-9350

Licencja

GPLv3

O projekcie

Lynis security audit tool deployment

role security
Zainstaluj
ansible-galaxy install mablanco.lynis
GitHub repozytorium
11 gwiazdki
2 forki
1 otwarte zgłoszenia
Licencja
gpl-3.0
Pobrania
208
Właściciel
Marco Antonio Blanco
DevSecOps & Cloud Engineer, FOSS advocate and Agile supporter.