亚马逊Linux 2

配置亚马逊Linux 2机器以符合CIS标准 在OEL上未测试

基于CIS 亚马逊Linux 2基准 v3.0.0 - 2023年12月22日

加入我们

在我们的Discord服务器上提问、讨论功能或与其他Ansible-Lockdown用户聊天。

注意事项

此角色 会对系统进行更改，可能会产生意想不到的后果。这不是审计工具，而是修复工具，适用于审计后使用。

不支持检查模式！该角色将在检查模式下完成而不出错，但不受支持，使用时应谨慎。应使用AMAZON2-CIS-Audit角色或合规性扫描仪进行合规检查，而不是使用检查模式。

此角色是在操作系统的全新安装上开发的。如果您要在现有系统上实施，请检查此角色是否需要任何特定的网站更改。

要使用发布版本，请指向主分支和相关的CIS基准版本。

从旧版本迁移

CIS版本总是包含更改，强烈建议您查看新参考和可用变量。自ansible-lockdown初始发布以来，这些内容发生了显著变化。 如果Python3被发现是默认解释器，现在将与Python3兼容。这会伴随一些前提条件，使系统进行相应配置。

更多细节请参见变更日志。

文档

• 入门
• 自定义角色
• 每主机配置
• 充分利用该角色
• Wiki
• GitHub页面

要求

一般要求：

• 对Ansible有基本了解，以下是一些Ansible文档链接，帮助您入门：
  • Ansible主文档页面
  • Ansible入门指南
  • Tower用户指南
  • Ansible社区信息
• 已安装、配置并运行的Ansible和/或Tower。这包括所有基本的Ansible/Tower配置、所需软件包和基础设施设置。
• 请通读此角色的任务，以了解每个控制的作用。一些任务是破坏性的，可能会对在线生产系统产生意想不到的后果。同时熟悉defaults/main.yml文件中的变量或主要变量Wiki页面。

技术依赖：

• 运行Ansible/Tower设置（该角色在Ansible版本2.11.1及更新版本上测试）
• Python3 Ansible运行环境
• python-def - 第一个任务设置Python3和Python2（如需要）的前提条件（标签pre-reqs）
  • libselinux-python
  • python3-rpm（供py3使用的rpm包）
  • jmespath

角色变量

此角色设计为最终用户无需编辑任务。所有自定义应通过defaults/main.yml文件或在项目、作业、工作流等中通过额外的变量来完成。这些变量可以在这里找到，均附有描述。

标签

有许多标签可供额外控制。每个控制都有自己的标签，标明其级别、是否打分、相关的操作系统元素，是补丁还是审计，以及规则编号。

以下是该角色中某个控制的标签部分示例。如果您将运行设置为跳过所有带有标签服务的控制，则此任务将被跳过。反之亦然，您也可以只运行带有服务标签的控制。

      tags:
      - level1
      - scored
      - avahi
      - services
      - patch
      - rule_2.2.4

分支

• devel - 这是默认分支和开发工作分支。社区拉取请求将合并到此分支。
• main - 这是发布分支。
• 所有其他分支 - 个人社区成员分支。

社区贡献

我们鼓励您（社区）为此角色做出贡献。请阅读以下规则。

• 您的工作在您自己独立的分支上完成。请确保所有要合并的提交都有签名和GPG签名。
• 所有社区拉取请求会合并到devel分支。
• 向devel分支的拉取请求将确保您的提交有GPG签名、签名确认，并在批准前进行功能测试。
• 一旦您的更改合并并完成更详细的审查，授权成员将把您的更改合并到主分支以进行新发布。

流水线测试

使用：

• ansible-core 2.12+
• ansible集合 - 根据需求文件拉取最新版本
• 使用devel分支进行审计
• 这是在拉取请求到devel分支时发生的自动测试。

支持

这是一个以社区为核心的项目，将以此方式进行管理。

如果您对专门的支持感兴趣以协助或提供定制设置：

• Ansible顾问
• 试用我们

致谢

非常感谢这个出色的社区和所有成员。