Amazon Linux 2

Настройте машину Amazon Linux 2 для соблюдения стандартов CIS Не тестировалось на OEL

Основано на CIS Amazon Linux 2 Benchmark v3.0.0 - 22-12-2023

Присоединяйтесь к нам

На нашем сервере Discord, чтобы задать вопросы, обсудить функции или просто пообщаться с другими пользователями Ansible-Lockdown.

Внимание

Эта роль внесет изменения в систему, которые могут иметь непредвиденные последствия. Это не инструмент аудита, а скорее инструмент для исправления, который следует использовать после проведения аудита.

Режим проверки не поддерживается! Роль завершится в режиме проверки без ошибок, но это не поддерживается и должно использоваться с осторожностью. Для проверки соответствия следует использовать роль AMAZON2-CIS-Audit или сканер соответствия.

Эта роль была разработана для чистой установки операционной системы. Если вы настраиваете ее на существующей системе, пожалуйста, ознакомьтесь с этой ролью для выявления необходимых изменений.

Чтобы использовать версию релиза, укажите основную ветку и соответствующий релиз для стандарта CIS, с которым хотите работать.

Если вы переходите с предыдущего релиза

Релиз CIS всегда содержит изменения, поэтому настоятельно рекомендуется ознакомиться с новыми ссылками и доступными переменными. Это значительно изменилось с момента первого релиза ansible-lockdown. Теперь это совместимо с python3, если он установлен в качестве интерпретатора по умолчанию. Это требует предварительной настройки системы.

Дополнительные сведения можно найти в Changelog.

Документация

• Начало работы
• Настройка ролей
• Настройка по хостам
• Оптимальное использование роли
• Вики
• Сторонняя страница репозитория GitHub

Требования

Общие:

• Базовые знания Ansible. Ниже приведены ссылки на документацию Ansible, которые помогут вам начать, если вы не знакомы с Ansible.

  • Главная страница документации Ansible
  • Начало работы с Ansible
  • Руководство пользователя по Tower
  • Информация о сообществе Ansible

• Рабочая установка Ansible и/или Tower, настроенная и запущенная. Это включает все базовые настройки Ansible/Tower, необходимые пакеты и настройку инфраструктуры.

• Пожалуйста, ознакомьтесь с задачами в этой роли, чтобы понять, что делает каждый контроль. Некоторые задачи могут быть разрушительными и иметь непредвиденные последствия в работающей производственной системе. Также ознакомьтесь с переменными в файле defaults/main.yml или на Главной странице переменных Вики.

Технические зависимости:

• Рабочая установка Ansible/Tower (эта роль протестирована с Ansible версии 2.11.1 и выше)
• Среда выполнения Ansible на Python3
• python-def - первая задача настраивает предварительные требования (тег pre-reqs) для python3 и python2 (при необходимости):
  • libselinux-python
  • python3-rpm (пакет, используемый py3 для работы с rpm)
  • jmespath

Переменные роли

Эта роль разработана так, чтобы конечному пользователю не приходилось редактировать задачи самостоятельно. Все настройки должны выполняться через файл defaults/main.yml или с использованием дополнительных переменных в проекте, задании, рабочем процессе и так далее. Эти переменные можно найти здесь на главной странице переменных Вики. Все переменные перечислены там с описаниями.

Теги

Существуют множество тегов для добавления точности управления. У каждого контроля есть собственный набор тегов, обозначающих уровень, оценки/неоценки, к какому элементу ОС он относится, является ли это патчем или аудитом, и номер правила.

Ниже приведен пример секции тегов из контроля в этой роли. Используя этот пример, если вы установите запуск так, чтобы пропустить все контроли с тегом services, эта задача будет пропущена. И обратное также может произойти, когда вы запускаете только контроли с тегом services.

      tags:
      - level1
      - scored
      - avahi
      - services
      - patch
      - rule_2.2.4

Ветки

• devel - Это основная ветка и рабочая ветка для разработки. Пулл-запросы сообщества будут попадать в эту ветку.
• main - Это ветка релиза.
• все остальные ветки - Индивидуальные ветки членов сообщества.

Вклад сообщества

Мы призываем вас (сообщество) внести свой вклад в эту роль. Пожалуйста, ознакомьтесь с правилами ниже.

• Ваша работа выполняется в вашей собственной индивидуальной ветке. Убедитесь, что вы подписали и GPG подписали все коммиты, которые вы собираетесь объединить.
• Все пулл-запросы сообщества будут объединены в ветке devel.
• Пулл-запросы в devel подтвердят наличие GPG подписи в ваших коммитах, подписаны и прошли функциональное тестирование перед одобрением.
• После объединения ваших изменений и более детального обзора уполномоченный член объединит ваши изменения в основную ветку для нового релиза.

Тестирование пайплайна

использует:

• ansible-core 2.12+
• ansible collections - загружает последнюю версию на основе файла требований
• проводит аудит, используя ветку devel
• Это автоматизированный тест, который происходит при пулл-запросах в devel.

Поддержка

Это по своей сути проект сообщества и будет управляться соответствующим образом.

Если вас интересует специализированная поддержка для помощи или предоставления индивидуальных настроек,

• Ansible Counselor
• Попробуйте нас

Спасибо

Огромное спасибо замечательному сообществу и всем его участникам.