Ubuntu 22 CIS

Настройка машины Ubuntu 22 для соответствия требованиям CIS

На основе стандарта CIS для Ubuntu Linux 22.04 LTS Benchmark v1.0.0 Выпуск

Ищете поддержку?

Lockdown Enterprise

Поддержка Ansible

Сообщество

Присоединяйтесь к нам на нашем сервере Discord, чтобы задавать вопросы, обсуждать функции или просто общаться с другими пользователями Ansible-Lockdown.

Осторожности

Эта роль внесет изменения в систему, что может привести к сбоям. Это не инструмент для аудита, а скорее инструмент для восстановления, используемый после проведения аудита.

Эта роль была разработана для чистой установки операционной системы. Если вы применяете на существующей системе, пожалуйста, ознакомьтесь с этой ролью для выявления специфических изменений.

Документация

• Прочитать документацию
• Начало работы
• Настройка ролей
• Настройка per-Host
• Максимальное использование роли

Требования

Общие:

• Базовые знания Ansible. Ниже приведены ссылки на документацию Ansible для вашего удобства:
  • Основная страница документации Ansible
  • Начало работы с Ansible
  • Руководство пользователя Tower
  • Информация о сообществе Ansible
• Рабочая установка Ansible и/или Tower, настроенная и работающая. Это включает все базовые конфигурации Ansible/Tower, установленные необходимые пакеты и настроенную инфраструктуру.
• Пожалуйста, ознакомьтесь с задачами в этой роли, чтобы понять, что делает каждый контроль. Некоторые из задач могут быть разрушительными и могут привести к нежелательным последствиям в рабочей системе. Также ознакомьтесь с переменными в файле defaults/main.yml или на Главной странице переменных.

Технические зависимости:

• Работающая установка Ansible/Tower (эта роль тестировалась с Ansible версии 2.12.1 и новее)
• Среда выполнения Ansible на Python3
• goss >= 0.4.4 (если используется для аудита)

Аудит (новинка)

Эта функция может быть включена или отключена в файле defaults/main.yml с помощью переменной run_audit. По умолчанию значение – false, пожалуйста, ознакомьтесь с вики для получения дополнительных деталей.

Это более быстрая, очень легковесная проверка (где это возможно) соответствия конфигурации и текущих/работающих настроек.

Разработан новый способ аудита с использованием небольшого (12МБ) go бинарного файла под названием goss вместе с соответствующими конфигурациями для проверки. Без необходимости в инфраструктуре или других инструментах. Этот аудит не только проверит, что конфигурация имеет правильные настройки, но и постарается зафиксировать, работает ли она с этой конфигурацией, стараясь исключить ложные срабатывания в процессе.

Смотрите UBUNTU22-CIS-Audit.

Дополнительная документация по аудиту доступна на Прочитать документацию

Переменные роли

Эта роль разработана так, чтобы конечному пользователю не пришлось редактировать сами задачи. Все настройки должны проводиться через файл defaults/main.yml или через дополнительные переменные в проекте, задании, рабочем процессе и т.д.

Ветки

• devel - Это основная ветка и рабочая ветка разработки. Запросы от сообщества будут вливаться в эту ветку.
• main - Эта ветка выпуска.
• reports - Это защищенная ветка для наших отчетов по оценкам, никакой код не должен здесь размещаться.
• gh-pages - Это ветка для страниц GitHub.
• все другие ветки - Индивидуальные ветки членов сообщества.

Вклад сообщества

Мы призываем вас (сообщество) внести свой вклад в эту роль. Пожалуйста, ознакомьтесь с правилами ниже.

• Ваша работа выполняется в вашей индивидуальной ветке. Убедитесь, что все ваши коммиты подписаны и имеют GPG-подпись.
• Все запросы на слияние от сообщества будут вливаться в ветку devel.
• Запросы на слияние в ветку devel будут подтверждать наличие GPG-подписи ваших коммитов, подтвержденной подписи и функциональных тестов перед одобрением.
• После слияния ваших изменений и более подробного обзора уполномоченный участник объединит ваши изменения в основную ветку для нового выпуска.

Тестирование пайплайна

использует:

• ansible-core 2.12
• коллекции ansible - подключает последнюю версию согласно файлу требований.
• запускает аудит, используя ветку devel.
• Это автоматизированный тест, который происходит при запросах на слияние в devel.

Добавленные дополнения

• pre-commit можно протестировать и запустить из директории.

pre-commit run