Linux強化で、CISの基本ルールの実装、「ファイアウォールのデフォルトゾーン(自動)の確認」が設定されているかどうか、ルールの1つに問題があります[閉じる]

Linux強化で、CISの基本ルールの実装、「ファイアウォールのデフォルトゾーン(自動)の確認」が設定されているかどうか、ルールの1つに問題があります[閉じる]

• 私たちは、CISの基本的な規則に基づいてLinuxオペレーティングシステムを強化しています。 •このコマンドプロンプトを使用して、「ファイアウォールのデフォルト領域(自動)が設定されていることを確認する」ルールを確認します。

次のコマンドを入力してください。

ファイアウォール cmd --get-default-zone

出力コマンド:

Firewall-cmd --set-default-zone=public ファイアウォールを公開に設定します。

  • ansibleの助けを借りてコントローラマシンを設定し、コマンドプロンプトから値を取得しようとしました。
  • ただし、コマンドプロンプトでは、「ファイアウォールがパブリックに設定されているため」ansibleスクリプトを使用して出力を取得することはできません。

必要な出力を得るためにansibleスクリプトを書くのに役立ちますか?

答え1

ここの既存の文法を見ると、英語に対する誤解や誤用があるという印象をすぐに受け取ります。

「firewalldデフォルト領域が設定されていることを確認してください(自動)」

CISルールのリンクまたは実際のフレーズを投稿してください...

firewalldこれはすでに標準のLinuxファイアウォールです。自動化すべてのネットワークインターフェイスが割り当てられているため基本ゾーン、基本ゾーンは最初人々。ゾーン設定が気に入らない場合は、public編集するか、新しいゾーンを作成して新しいゾーン/etc/firewalld/firewalld.conf DefaultZone=public/etc/firewalld/zones/public.xml

https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/security_guide/sec-working_with_zones

5.7.3。デフォルト領域の変更

システム管理者は、設定ファイル内のネットワークインターフェイスにゾーンを割り当てます。インターフェイスが特定のゾーンに割り当てられていない場合は、デフォルトゾーンに割り当てられます。ファイアウォールサービスを再起動するたびに、ファイアウォールはデフォルトゾーンの設定をロードして有効にします。

答え2

これは、CISベースの文書の誤解またはフォーマットエラーの可能性があります。

Firewall is set to be publicこれは実際にはコマンドの出力ではなく、firewall-cmd --set-default-zone=publicコマンドの期待される効果の説明です。

Ansibleスクリプトがコマンドを実行しfirewall-cmd --set-default-zone=public、コマンドがエラーなしで終了した場合、ファイアウォールのデフォルト領域は正常に設定されていますpublic

これを確認するために、スクリプトでコマンドを実行し、firewall-cmd --get-default-zoneそのコマンドがを返すことを確認できますpublic

関連情報