Ansible роль для linux auditd

Ansible роль для настройки и конфигурации linux auditd.

Возможная визуализация с помощью R.

Требования и зависимости

Ansible

Тестировалась на следующих версиях:

• 2.2
• 2.5
• 2.10

Операционные системы

• Ubuntu 16.04, 18.04, 20.04
• CentOS 7, 8
• Suse 12.x, 15.x

Пример playbook

Просто включите эту роль в ваш список. Например:

- hosts: all
  roles:
    - juju4.auditd

Переменные

На данный момент ничего специфичного.

Непрерывная интеграция

Эта роль имеет базовый тест travis (для github), более сложный с kitchen и также Vagrantfile (test/vagrant). Стандартная конфигурация kitchen (.kitchen.yml) основана на lxd, в то время как (.kitchen.vagrant.yml) основана на vagrant/virtualbox.

После того как вы убедитесь, что все необходимые роли присутствуют, вы можете протестировать с помощью:

$ gem install kitchen-ansible kitchen-lxd_cli kitchen-sync kitchen-vagrant
$ cd /path/to/roles/juju4.auditd
$ kitchen verify
$ kitchen login
$ KITCHEN_YAML=".kitchen.vagrant.yml" kitchen verify

или

$ cd /path/to/roles/juju4.auditd/test/vagrant
$ vagrant up
$ vagrant ssh

Устранение неполадок и известные проблемы

• Поскольку auditd связан с ядром, роль не внесет никаких изменений, если выполняется в контейнерах.

• Наблюдаются ошибки watchdog: BUG: soft lockup - CPU#0 stuck for Xs! [kauditd:22], audit: backlog limit exceeded, audit: kauditd hold queue overflow, даже с grub audit_backlog_limit=8192. Добавлена переменная auditd_grub_enable и по умолчанию она отключена. Используйте с осторожностью. Переполнение очереди kauditd в 4.11, сентябрь 2017 Переполнение событий во время загрузки, май 2017

Ссылки

• https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Security_Guide/chap-system_auditing.html
• https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Security_Guide/sec-starting_the_audit_service.html
• https://github.com/bfuzzy/auditd-attack
• https://github.com/Neo23x0/auditd/

Лицензия

BSD 2-clauses