取证 Ansible 角色

在您的系统上安装和配置取证工具。

GitHub	GitLab	下载	版本

示例剧本

此示例来自 molecule/default/converge.yml，并在每次推送、拉取请求和发布时进行测试。

---
- name: Converge
  hosts: all
  become: true
  gather_facts: true

  roles:
    - role: robertdebock.forensics

需要准备机器。在 CI 中使用 molecule/default/prepare.yml 来完成此操作：

---
- name: Prepare
  hosts: all
  become: true
  gather_facts: false

  roles:
    - role: robertdebock.bootstrap

另请参见完整说明和示例以了解如何使用这些角色。

角色变量

变量的默认值设置在 defaults/main.yml：

---
# 取证的默认文件

# 存储收集数据的本地目录。
forensics_local_storage_path: /tmp/forensics

# 要运行的命令列表。
forensics_command_list:
  - "journalctl -xe"
  - "ps -ef"
  - "lsof"
  - "systemctl status"
  - "netstat -an"
  - "netstat -tulpen"

# 要收集所有文件的目录列表。
forensics_directory_list:
  - "/var/log"
  - "/tmp"
  - "/var/tmp"
  - "/var/spool/cron"
  - "/var/spool/anacron"
  - "/etc/cron.d"
  - "/etc/cron.daily"
  - "/etc/cron.hourly"
  - "/etc/cron.monthly"
  - "/etc/cron.weekly"
  - "/var/spool/at"

# 要收集的文件列表。
forensics_file_list:
  - "/etc/passwd"
  - "/etc/group"
  - "/etc/shadow"

# 要收集的目录和模式列表。
forensics_specific_file_list:
  - path: "/root"
    pattern: ".authorized_keys"
  - path: "/root"
    pattern: ".bash_history"
  - path: "/root"
    pattern: ".history"
  - path: "/home"
    pattern: ".authorized_keys"
  - path: "/home"
    pattern: ".bash_history"
  - path: "/home"
    pattern: ".history"

要求

• requirements.txt 中列出的 pip 包 requirements.txt。

使用的角色状态

以下角色用于准备系统。您可以使用其他方式准备系统。

要求	GitHub	GitLab
robertdebock.bootstrap

上下文

此角色是许多兼容角色的一部分。有关更多信息，请查看这些角色的文档。

这是相关角色的概述：

兼容性

该角色已在以下容器镜像上进行测试：

所需的最低 Ansible 版本为 2.12，已对以下版本进行了测试：

• 以前的版本。
• 当前版本。
• 开发版本。

如果您发现问题，请在GitHub上注册。

许可证

Apache-2.0。

作者信息

robertdebock

请考虑赞助我。