Ubuntu 22 CIS

配置 Ubuntu 22 机器以符合 CIS 标准

基于 CIS Ubuntu Linux 22.04 LTS 基准 v1.0.0 发布

寻求支持吗？

Lockdown Enterprise

Ansible支持

社区

加入我们的 Discord 服务器，提出问题、讨论功能，或与其他 Ansible-Lockdown 用户聊天。

注意事项

此角色 会对系统进行更改 可能会导致故障。这不是审计工具，而是一个在审计后使用的修复工具。

此角色是在干净的操作系统安装上开发的。如果您在现有系统上实施该角色，请审查此角色以了解所需的特定更改。

文档

• 阅读文档
• 入门指南
• 自定义角色
• 主机配置
• 充分利用角色

要求

基本要求：

• 具备基本的 Ansible 知识。如果您对 Ansible 不熟悉，以下是一些帮助入门的 Ansible 文档链接：
  • 主 Ansible 文档页面
  • Ansible 入门指南
  • Tower 用户指南
  • Ansible社区信息
• 功能正常的 Ansible 和/或 Tower 应该已安装、配置并运行。这包括所有基本的 Ansible/Tower 配置、所需的软件包安装和基础设施设置。
• 请仔细阅读此角色中的任务，以了解每个控制项的功能。一些任务可能会带来破坏性影响，并可能在生产系统中产生意外后果。同时，请熟悉 defaults/main.yml 文件中的变量或 主变量 Wiki 页面。

技术依赖：

• 正在运行的 Ansible/Tower 设置（此角色测试针对 Ansible 版本 2.12.1 及以上）
• Python3 Ansible 运行环境
• goss >= 0.4.4（如果用于审计）

审计（新功能）

您可以在 defaults/main.yml 文件中通过变量 run_audit 开启或关闭审计。默认值为 false，请参阅 Wiki 获取更多详细信息。

这是一种更快、非常轻量级的检查（在可能的情况下）配置合规性和实时/运行设置。

一种新的审计形式已被开发，使用一个大小为 12MB 的 Go 二进制文件 goss 以及相关配置进行检查。不需要基础设施或其他工具。 此审计不仅检查配置是否设置正确，而且旨在捕捉是否以该配置运行，努力减少 错误的正面结果 的发生。

请参阅 UBUNTU22-CIS-Audit。

更多审计文档可以在 阅读文档 中找到。

角色变量

此角色的设计是为了使最终用户不必编辑任务本身。所有自定义应在 defaults/main.yml 文件中完成，或在项目、作业、工作流等中使用额外变量。

分支

• devel - 这是默认分支和工作开发分支。社区拉取请求将被合并到此分支
• main - 这是发布分支
• reports - 这是我们评分报告的保护分支，任何代码不应进入此处
• gh-pages - 这是 GitHub 页面分支
• 所有其他分支 - 各个社区成员分支

社区贡献

我们鼓励您（社区）对这个角色做出贡献。请阅读以下规则。

• 您的工作在您自己的单独分支上完成。确保对所有准备合并的提交进行签署和 GPG 签名。
• 所有社区拉取请求将在 devel 分支中合并
• 对 devel 的拉取请求将确认您的提交具有 GPG 签名、已签署，并在批准之前进行功能测试
• 一旦您的更改被合并并完成更详细的审查，授权成员将把更改合并到 main 分支中以进行新版本发布

流水线测试

使用：

• ansible-core 2.12
• ansible collections - 根据需求文件拉取最新版本
• 使用 devel 分支运行审计
• 这是一个在对 devel 的拉取请求时自动进行的测试

附加功能

• pre-commit 可在目录中运行并进行测试

pre-commit run