常见问题解答¶
此角色是否仅适用于 OpenStack 环境?¶
不 – 它几乎适用于任何 Linux 主机!
ansible-hardening 角色最初是 OpenStack-Ansible 项目的一个组件,旨在部署到现有的 OpenStack 环境中,而不会造成中断。但是,该角色现在在 OpenStack 和非 OpenStack 环境中都能很好地工作。
有关更多详细信息,请参阅下面的涵盖哪些系统?
为什么要将此角色应用于系统?¶
有三个主要原因要将此角色应用于生产 Linux 系统
- 提高安全性
STIG 中的配置为 Linux 系统的多个组件(包括用户身份验证、服务配置和软件包管理)增加了安全性和严格性。所有这些配置加起来,使得攻击者更难以渗透并用于横向移动。
- 满足合规性要求
一些部署者可能需要遵守行业合规性计划,例如 PCI-DSS、ISO 27001/27002 或 NIST 800-53。这些计划中的许多都要求将加固标准应用于关键系统,例如 OpenStack 基础设施组件。
- 无中断部署
安全性通常与可用性相互矛盾。该角色在不中断生产系统的情况下提供最大的安全优势。部署者可以根据其环境的配置选择退出或选择加入大多数配置。
涵盖哪些系统?¶
ansible-hardening 角色为运行以下 Linux 发行版的物理服务器提供安全加固
CentOS 7
Debian 8 Jessie
Fedora 27
openSUSE Leap 42.2 和 42.3
Red Hat Enterprise Linux 7 (部分自动化测试覆盖)
SUSE Linux Enterprise 12(实验性)
Ubuntu 16.04 Xenial
OpenStack gating 系统定期对这些发行版中的每一个测试该角色,除了 Red Hat Enterprise Linux 7,因为它是一个非自由 Linux 发行版。CentOS 7 与 Red Hat Enterprise Linux 7 非常相似,并且现有的 CentOS 测试覆盖非常彻底。
哪些系统未涵盖?¶
在 OpenStack-Ansible 部署中,在物理服务器上运行各种 OpenStack 服务的容器目前不在范围内,并且不会被该角色更改。
在 OpenStack 环境中创建的虚拟机也不会受到此角色的影响,尽管如果部署者选择这样做,可以将此角色应用于这些虚拟机。
