jbertozzi.cis_rhel8
cis-rhel8
配置 RHEL 8 服务器以符合 CIS 基准。
在使用这个角色之前,请小心,它可能会破坏你的系统。
角色变量
项目
每个项目都有一个布尔变量 cis_rhel8_<section>_<subitem1>_<subitem2>(_<subitem3>)?,用于决定是否应用相关的修复。默认情况下,角色会修复所有项目。如果你的系统有特定需求,请小心设置适当的变量为 false。
例如,如果你不想设置引导装载器密码(_1.5.2 - 确保设置了引导装载器密码_),可以将变量 cis_rhel8_1_5_2 设置为 false。
自定义
对于一些项目,你可以配置一个或多个变量。例如,如果你决定设置引导装载器密码,你可以设置你自己的密码或者选择重置它:
cis_rhel8_grub_password: mynewsecurepassword(这个变量最好加密存储)cis_rhel8_reset_grub_password: true
默认情况下,这些自定义变量设置为 CIS 基准推荐的值。
示例剧本
使用默认值应用所有修复:
$ cat cis.yml
---
- hosts: rhel8_servers
roles:
- role: cis-rhel8
$ ansible-playbook cis.yml
仅应用第 1 部分(_初始设置_):
$ cat cis.yml
---
- hosts: rhel8_servers
vars:
cis_rhel8_5_2_11: false
roles:
- role: cis-rhel8
$ ansible-playbook cis.yml -t section1
仅应用第 1 级项目,不修复几个项目(1.4.1 确保安装了 AIDE 和 _5.2.6 确保禁用了 SSH X11 转发_),并自定义 _5.2.5 确保 SSH 日志级别适当_:
$ cat cis.yml
---
- hosts: rhel8_servers
vars:
cis_rhel8_1_4_1: false
cis_rhel8_5_2_6: false
cis_rhel8_sshd_log_level: DEBUG
roles:
- role: cis-rhel8
$ ansible-playbook cis.yml -t level1
许可证
BSD
作者信息
Jérémy Bertozzi jeremy.bertozzi@gmail.com