Ubuntu 20 CIS

配置一台 Ubuntu 20 机器，使其符合 CIS 标准

基于 CIS Ubuntu Linux 20.04 LTS 基准 v2.0.1 发布

寻求支持？

Lockdown 企业版

Ansible 支持

社区

在我们的 Discord 服务器 上提问、讨论功能或与其他 Ansible-Lockdown 用户聊天

注意事项

此角色 将对系统进行更改，可能会导致问题。这不是一个审计工具，而是一个在审计后进行整改的工具。

该角色是针对干净的操作系统安装开发的。如果您在现有系统上实施，请审查此角色以查看是否需要任何特定于站点的更改。

文档

• 阅读文档
• 入门指南
• 自定义角色
• 按主机配置
• 充分利用角色

需求

一般要求：

• 具有基本的 Ansible 知识，以下是一些 Ansible 文档的链接，可帮助您入门
  • 主要 Ansible 文档页面
  • Ansible 入门
  • Tower 用户指南
  • Ansible 社区信息
• 安装、配置并运行的 Ansible 和/或 Tower。这包括所有基本的 Ansible/Tower 配置、所需的包以及基础设施设置。
• 请通读此角色中的任务，以了解每项控制的功能。其中一些任务可能会干扰并可能在生产系统中产生意想不到的后果。还要熟悉 defaults/main.yml 文件中的变量。

技术依赖：

• 正在运行的 Ansible/Tower 设置（此角色在 Ansible 版本 2.9.1 及更高版本上进行了测试）
• Python3 Ansible 运行环境

审计（新）

可以在 defaults/main.yml 文件中通过变量 run_audit 开启或关闭。默认值为 false，请参阅 wiki 以获取更多详细信息。

这是一个更快、更轻量的检查（在可能的情况下）配置合规性和实时/运行设置。

开发了一种新的审计形式，使用一个小型（12MB）的 Go 二进制文件 goss 及相关配置进行检查。无需基础设施或其他工具。 该审计不仅会检查配置是否具有正确设置，还旨在捕捉其是否以该配置运行，并试图消除 虚假积极 的情况。

请参阅 UBUNTU20-CIS-Audit。

进一步的审计文档可以在 阅读文档 中找到。

角色变量

此角色设计为最终用户不需要编辑任务。所有自定义应通过 defaults/main.yml 文件或通过项目、作业、工作流等中的额外变量进行。

分支

• devel - 这是默认分支和开发工作分支。社区的拉取请求将合并到此分支
• main - 这是发布分支
• reports - 这是我们的评分报告的保护分支，代码不应进入此处
• gh-pages - 这是 GitHub 页面分支
• 所有其他分支 - 个别社区成员的分支

社区贡献

我们鼓励您（社区）贡献此角色。请阅读以下规则。

• 您的工作在您自己的个别分支中完成。确保对您打算合并的所有提交进行签名并进行 GPG 签名。
• 所有社区拉取请求都会合并到 devel 分支
• 合并到 devel 的拉取请求将确认您的提交具有 GPG 签名、已签名，并在批准之前经过功能测试
• 一旦您的更改合并，并且更详细的审查完成，授权成员将您的更改合并到主分支以供新发布

管道测试

使用：

• ansible-core 2.12
• ansible collections - 根据需求文件拉取最新版本
• 使用 devel 分支运行审计
• 这是在拉取请求合并到 devel 时自动进行的测试

额外功能

• pre-commit 可以在目录中测试并运行

pre-commit run