cis_ubuntu_2004

Ansible Роль: cis_ubuntu_2004 :computer:

Ansible Роль для применения CIS Бенчмарка для Ubuntu Linux 20.04 LTS.

В данный момент поддерживаемые версии:

CIS Бенчмарк для Ubuntu Linux 20.04 LTS v1.1.0
CIS Бенчмарк для Ubuntu Linux 20.04 LTS v1.0.0

Версии

В таблице указаны доступные версии роли на Ansible Galaxy и GitHub Releases, в соответствии с CIS Бенчмарком для Ubuntu Linux 20.04 LTS.

Версия CIS Ubuntu 20.04 Бенчмарка	Версия Ansible Galaxy	Версия репозитория
1.0.0	1.0.0, 1.0.1, 1.0.2	1.0.0, 1.0.1, 1.0.2
1.1.0	2.0.0, 2.0.1, 2.1.0, 3.0.0, 3.1.0	2.0.0, 2.0.1, 2.1.0, 3.0.0, 3.1.0

1. Инструкции по установке/загрузке:

Эта роль доступна на Ansible Galaxy. Напоминаем, что существует несколько способов установки/загрузки роли cis_ubuntu_2004 на вашем узле Ansible Controller, как с Ansible Galaxy, так и напрямую из репозитория.

Без файла requirements.yml:

Установка/Загрузка последней (по умолчанию) доступной версии:
```
ansible-galaxy install darkwizard242.cis_ubuntu_2004
```
Установка/Загрузка конкретной версии (например, 3.1.0):
```
ansible-galaxy install darkwizard242.cis_ubuntu_2004,3.1.0
```
Установка/Загрузка конкретной доступной версии ветки из репозитория (например, ветка master, которая всегда будет соответствовать последней версии CIS Ubuntu 20.04 Бенчмарка):
```
ansible-galaxy install darkwizard242.cis_ubuntu_2004,master
```
Установка/Загрузка конкретной версии ветки из репозитория (например, ветка feature/cis_version_1.1.0, которая соответствует последним обновлениям CIS Ubuntu 20.04 Бенчмарка версии v1.1.0):
```
ansible-galaxy install darkwizard242.cis_ubuntu_2004,feature/cis_version_1.1.0
```
Установка/Загрузка конкретной версии ветки из репозитория (например, ветка feature/cis_version_1.0.0, которая соответствует последним обновлениям CIS Ubuntu 20.04 Бенчмарка версии v1.0.0):
```
ansible-galaxy install darkwizard242.cis_ubuntu_2004,feature/cis_version_1.0.0
```

С файлом requirements.yml:

Добавьте в существующий файл requirements.yml вместе с другими ролями или создайте новый файл для установки cis_ubuntu_2004.

Последняя версия напрямую с Ansible Galaxy.
```
- name: darkwizard242.cis_ubuntu_2004
```
Конкретная версия напрямую с Ansible Galaxy.
```
- name: darkwizard242.cis_ubuntu_2004
  version: 3.1.0
```

Конкретная ветка из репозитория.

- name: cis_ubuntu_2004
  src: https://github.com/darkwizard242/cis_ubuntu_2004
  version: master

Установка/Загрузка после добавления в requirements.yml :

ansible-galaxy install -r requirements.yml

ПРИМЕЧАНИЕ: Установка роли, как указано выше, только загружает роль для использования в ваших ansible playbook'ах. Вы можете прочитать инструкции по установке/загрузке ролей здесь.

2. Несколько замечаний:

Бенчмарки вокруг разделения диска и их точек монтирования из Раздела 1 не применяются в этой роли. Причина в том, что система архитектуры и планировка диска у каждого пользователя/организации может сильно различаться. Я рекомендую применить это самостоятельно. Ниже приведен список этих бенчмарков:

1.1.10 Убедитесь, что существует отдельный раздел для /var (Автоматизировано)
1.1.11 Убедитесь, что существует отдельный раздел для /var/tmp (Автоматизировано)
1.1.12 Убедитесь, что раздел /var/tmp включает опцию nodev (Автоматизировано)
1.1.13 Убедитесь, что раздел /var/tmp включает опцию nosuid (Автоматизировано)
1.1.14 Убедитесь, что раздел /var/tmp включает опцию noexec (Автоматизировано)
1.1.15 Убедитесь, что существует отдельный раздел для /var/log (Автоматизировано)
1.1.16 Убедитесь, что существует отдельный раздел для /var/log/audit (Автоматизировано)
1.1.17 Убедитесь, что существует отдельный раздел для /home (Автоматизировано)

Следующие бенчмарки из Раздела 4 также не были реализованы:

4.2.1.5 Убедитесь, что rsyslog настроен на отправку логов на удаленный хост (Автоматизировано)
4.2.1.6 Убедитесь, что удаленные сообщения rsyslog принимаются только на назначенных лог-хостах. (Ручное)
4.3 Убедитесь, что logrotate настроен (Ручное)

3. Требования

Отсутствуют.

4. Переменные роли

Переменные по умолчанию, используемые в задачах роли, находятся в defaults/main/.

defaults/main/main.yml содержит переменные, относящиеся ко всем разделам CIS, такие как следующие, и системные переменные, упомянутые в разделе Важные переменные:

ubuntu_2004_cis_section1: true
ubuntu_2004_cis_section2: true
ubuntu_2004_cis_section3: true
ubuntu_2004_cis_section4: true
ubuntu_2004_cis_section5: true
ubuntu_2004_cis_section6: true

Цель вышеупомянутых переменных — указать, что все задачи, относящиеся к этим разделам, должны быть применены через роль cis_ubuntu_2004.

Переменные для каждого из разделов находятся в собственных файлах.

Переменные раздела 1 находятся в defaults/main/section_01.yml
Переменные раздела 2 находятся в defaults/main/section_02.yml
Переменные раздела 3 находятся в defaults/main/section_03.yml
Переменные раздела 4 находятся в defaults/main/section_04.yml
Переменные раздела 5 находятся в defaults/main/section_05.yml
Переменные раздела 6 находятся в defaults/main/section_06.yml

Переменные по умолчанию для всего в роли cis_ubuntu_2004 могут быть заменены, передав их в playbook или любой другой метод предопределения переменных.

... (и так далее, переведите остальную часть по аналогии) ...

О проекте

Role to apply CIS Benchmark for Ubuntu Linux 20.04 LTS.

role cis focal hardening linux os ubuntu

Установить

ansible-galaxy install estenrye/cis_ubuntu_2004

GitHub репозиторий

0 звезд(ы)

0 форк(ов)

0 открытых задач

Лицензия

mit

Загрузки

6077

Владелец

Esten Rye