使用 Ansible 进行 Linux 主机自动化安全加固¶

该角色做什么？¶

ansible-hardening Ansible 角色使用行业标准的安全性加固指南来保护 Linux 主机。虽然该角色设计为可在 OpenStack-Ansible 部署的 OpenStack 环境中良好运行，但它几乎可以用于任何 Linux 系统。

一切都始于来自国防信息系统局 (DISA) 的安全技术实施指南 (STIG)，该机构是美国国防部的一部分。该指南以公共领域许可发布，并被全球公共和私营组织广泛用于保护系统。

STIG 中的每个配置都会被分析，以确定它对实时生产环境可能产生的影响以及如何在 Ansible 中实现它。将任务添加到该角色中，以配置主机以满足配置要求。每个任务都经过记录，以解释更改的内容、更改的原因以及部署者需要了解的有关更改的内容。

部署者可以选择使用 Ansible 变量和标签应用哪些配置。一些任务允许部署者提供自定义配置，以收紧或放宽某些要求。

本次演讲涵盖了该项目的最新更新和现场演示。演讲幻灯片可供下载。

以下文档适用于 Queens 版本（当前正在积极开发中）。最新稳定版本和先前稳定版本的文档可以在下面的版本部分中找到。

部署者应将最新的稳定版本用于所有生产部署。

状态：最新稳定版本
STIG 版本：RHEL 7 STIG 版本 1，发布 3 (发布于 2017-10-27)
支持的操作系统
- CentOS 7
- Debian 10 Buster
- openSUSE Leap 15 和 15.1
- Red Hat Enterprise Linux 7
- Ubuntu 18.04 Bionic

状态：最新稳定版本
STIG 版本：RHEL 7 STIG 版本 1，发布 3 (发布于 2017-10-27)
支持的操作系统
- CentOS 7
- Debian 9 Stretch 和 10 Buster
- openSUSE Leap 15 和 15.1
- Red Hat Enterprise Linux 7
- Ubuntu 18.04 Bionic

状态：最新稳定版本
STIG 版本：RHEL 7 STIG 版本 1，发布 3 (发布于 2017-10-27)
支持的操作系统
- CentOS 7
- openSUSE Leap 42.3
- Red Hat Enterprise Linux 7
- Ubuntu 16.04 Xenial 和 18.04 Bionic

状态：最新稳定版本 (发布于 2017 年 2 月)
支持的操作系统
- CentOS 7
- Red Hat Enterprise Linux 7 (部分自动化测试覆盖)
- Ubuntu 14.04 Trusty (已弃用)
- Ubuntu 16.04 Xenial
文档
- ansible-hardening Ocata 文档
- ansible-hardening Ocata 发布说明

状态：先前稳定版本 (发布于 2016 年 10 月)
支持的操作系统
- Ubuntu 14.04 Trusty
- Ubuntu 16.04 Xenial
- CentOS 7
- Red Hat Enterprise Linux 7 (部分自动化测试覆盖)
文档
- ansible-hardening Newton 文档
- ansible-hardening Newton 发布说明