lynis

Обзор Версии Аналитика

mablanco.lynis

Роль Ansible для развертывания Lynis, инструмента для аудита безопасности с открытым исходным кодом, из его Git-репозитория, официального архивного файла tar или официальных пакетов для Linux. Она также настраивает еженедельный аудит, отчёт о котором отправляется на настраиваемый адрес электронной почты.

Рекомендую использовать метод 'git', так как он всегда устанавливает последнюю доступную версию, в то время как метод 'tar' стоит использовать только как резервный вариант, если на целевой машине нет клиента git. Если вы предпочитаете лучшую интеграцию с вашей дистрибуцией Linux, то можете выбрать метод 'pkg'.

Переменные роли

  • lynis_deploy_method: Метод развертывания. По умолчанию 'tar'. Принимаемые значения: 'tar', 'git', 'pkg'. В настоящее время поддерживаемые дистрибутивы Linux: Debian, Ubuntu, RHEL, Fedora, CentOS, openSuSE и SLES.
  • lynis_home: Каталог, в который будет установлен Lynis. По умолчанию '/opt/lynis'
  • lynis_url: URL для загрузки архивного файла tar. По умолчанию 'https://cisofy.com/files'
  • lynis_version: Версия архивного файла tar. В настоящее время по умолчанию '2.7.3'
  • lynis_package: Имя архивного файла tar. По умолчанию 'lynis-{{ lynis_version }}.tar.gz'
  • lynis_git_repo: URL Git-репозитория. По умолчанию 'https://github.com/CISOfy/lynis'
  • lynis_cron_hour: Час выполнения задания cron. По умолчанию '6'.
  • lynis_cron_minute: Минуты выполнения задания cron. По умолчанию '30'.
  • lynis_cron_dow: День недели выполнения задания cron. По умолчанию '7'.
  • lynis_report_from: Адрес электронной почты отправителя для еженедельного отчета об аудите. Нет допустимого значения по умолчанию.
  • lynis_report_to: Адрес электронной почты получателя для еженедельного отчета об аудите. Нет допустимого значения по умолчанию.
  • lynis_log_expire: Дни перед удалением журналов. По умолчанию '90'.
  • lynis_tests_to_skip: Тесты, которые следует пропустить при выполнении аудита. Нет значения по умолчанию, заполните по своему усмотрению списком кодов тестов.

Пример плейбука

Примеры того, как использовать эту роль в зависимости от выбранного метода развертывания:

- hosts: lynis-tar
  roles:
     - { role: mablanco.lynis, lynis_deploy_method: tar }

- hosts: lynis-git
  roles:
     - { role: mablanco.lynis, lynis_deploy_method: git }

- hosts: lynis-pkg
  roles:
     - { role: mablanco.lynis, lynis_deploy_method: pkg }

Вы также можете использовать переменную lynis_deploy_method в вашем инвентаре следующим образом:

[lynis-tar]
server01

[lynis-tar:vars]
lynis_deploy_method=tar

Если вы хотите пропустить тесты, которые не имеют смысла для ваших серверов, вы можете назначить переменную lynis_tests_to_skip со списком кодов тестов в любом из привычных мест в Ansible. Например, в файле 'vars/main.yml':

---
# файл переменных для mablanco.lynis

lynis_tests_to_skip:
  - SSH-7408
  - KRNL-6000
  - HOME-9350

Лицензия

GPLv3

О проекте

Lynis security audit tool deployment

role security
Установить
ansible-galaxy install mablanco/ansible-lynis
GitHub репозиторий
11 звезд(ы)
2 форк(ов)
1 открытых задач
Лицензия
gpl-3.0
Загрузки
147
Владелец
Marco Antonio Blanco
DevSecOps & Cloud Engineer, FOSS advocate and Agile supporter.