debian11_cis

Обзор Версии Аналитика

Debian 11 CIS

Настройка машины Debian 11 для соответствия CIS

На основе CIS Debian Linux 11 LTS Benchmark v1.0.0 Релиз

Org Stars Stars Forks followers Twitter URL

Discord Badge

Release Branch Release Tag Release Date

Main Pipeline Status

Devel Pipeline Status Devel Commits

Issues Open Issues Closed Pull Requests

License

Ищете поддержку?

Lockdown Enterprise

Поддержка Ansible

Сообщество

На нашем сервере Discord можно задать вопросы, обсудить функции или просто пообщаться с другими пользователями Ansible-Lockdown.

Предостережения

Этот инструмент внесет изменения в систему, которые могут привести к сбоям. Это не инструмент для аудита, а средство для исправления проблем после проведенного аудита.

Этот инструмент был разработан для чистой установки операционной системы. Если вы настраиваете его на существующей системе, пожалуйста, проверьте, какие изменения нужно внести.

Документация

Требования

Общие:

  • Базовые знания Ansible, ниже приведены некоторые ссылки на документацию Ansible, чтобы помочь вам начать, если вы не знакомы с Ansible:
  • Рабочая установка Ansible и/или Tower, настроенная и функционирующая. Это включает все базовые настройки Ansible/Tower, установленные необходимые пакеты и настроенную инфраструктуру.
  • Пожалуйста, ознакомьтесь с задачами в этой роли, чтобы понять, что делает каждый контроль. Некоторые задачи могут нарушить работу системы и привести к нежелательным последствиям в рабочей среде. Также ознакомьтесь с переменными в файле defaults/main.yml.

Технические зависимости:

  • Установленная и работающая настройка Ansible/Tower (эта роль тестировалась с Ansible версии 2.9.1 и новее).
  • Среда выполнения Python3 Ansible.

Аудит (новое)

Это можно включить или отключить в файле defaults/main.yml с помощью переменной run_audit. По умолчанию значение - false, пожалуйста, ознакомьтесь с вики для получения более подробной информации.

Это более быстрое и легковесное решение для проверки соответствия конфигурации и текущих настроек.

Разработан новый способ аудита, с использованием небольшого (12 МБ) бинарника на Go под названием goss вместе с соответствующими конфигурациями для проверки. Без необходимости в инфраструктуре или других инструментах. Этот аудит не только проверит, что конфигурация имеет правильные установки, но также постарается зафиксировать, работает ли она с этой конфигурацией, стараясь исключить ложные срабатывания в процессе.

Смотрите Debian11-CIS-Audit.

Более подробную документацию по аудиту можно найти на Читать документацию.

Переменные роли

Эта роль разработана так, чтобы конечному пользователю не приходилось редактировать задачи. Все настройки должны производиться через файл defaults/main.yml или с использованием дополнительных переменных в проекте, задаче, рабочем процессе и т. д.

Ветки

  • devel - Это основная ветка и рабочая ветка разработки. Вкладки сообщества будут попадать в эту ветку.
  • main - Это ветка релиза.
  • reports - Это защищенная ветка для наших отчетов о оценках, код никогда не должен попадать сюда.
  • gh-pages - Это ветка страниц github.
  • все остальные ветки - Индивидуальные ветки членов сообщества.

Вклад сообщества

Мы поощряем вас (сообщество) вносить свой вклад в эту роль. Пожалуйста, ознакомьтесь с правилами ниже.

  • Ваша работа выполняется в вашей индивидуальной ветке. Убедитесь, что все ваши коммиты подписаны и имеют GPG подпись.
  • Все запросы на изменение сообщества будут попадать в ветку devel.
  • Запросы на изменение в devel будут подтверждены наличием GPG подписи, подписаны и прошли функциональное тестирование перед утверждением.
  • После того как ваши изменения будут объединены и завершен более детальный обзор, уполномоченный участник объединит ваши изменения в основную ветку для нового релиза.

Тестирование конвейера

использует:

  • ansible-core 2.12
  • ansible collections - загружает последнюю версию на основе файла требований
  • выполняет аудит, используя ветку devel
  • Это автоматизированный тест, который происходит при запросах на изменение в devel.

Дополнительные функции

  • pre-commit можно протестировать и запустить из директории:
pre-commit run

Известные проблемы

Во время правила 1.9 это может не сработать с следующим сообщением:

Вы должны исправить ваши устройства установки GRUB перед продолжением:

      DEBIAN_FRONTEND=dialog dpkg --configure grub-pc
      dpkg --configure -a

Проверьте текущие настройки:

debconf-show grub-pc | grep install_devices:

Если это возвратит следующую строку без значения:

* grub-pc/install_devices:

Вам нужно установить устройство, с которым будет конфигурироваться grub-pc.

Используйте на свой страх и риск

Пример только (будьте осторожны с диском):

Запустите следующее с правами суперпользователя:

disk=$(find /dev -type l -lname '*/sda' -path '*/by-id/*')
debconf-set-selections << EOF
grub-pc    grub-pc/install_devices    multiselect    $disk
EOF
apt update
apt install grub-pc -y

Благодарности

Огромная благодарность замечательному сообществу и всем его участникам. Особая благодарность и признание оригинальным авторам и кураторам.

О проекте

Apply the Debian 11 CIS benchmarks

role system security cis hardening benchmark compliance complianceascode debian
Установить
ansible-galaxy install ansible-lockdown/DEBIAN11-CIS
GitHub репозиторий
12 звезд(ы)
3 форк(ов)
0 открытых задач
Лицензия
mit
Загрузки
55796
Владелец
Ansible Lockdown
Ansible Lockdown is a security baseline automation project sponsored by Mindpoint Group.