CISの基本規格に従ってcentos6.7仮想マシンを強化しています。私はできるだけ自動化するためにAnsibleを使用します。
私が使用する補強文書は次のとおりです(12-13ページ)。 https://benchmarks.cisecurity.org/tools2/linux/CIS_CentOS_Linux_6_Benchmark_v1.1.0.pdf
次の2つの確認と期待を含むコントロール1.1.6を実装しようとしています。
# grep -e "^/tmp" /etc/fstab | grep /var/tmp
/tmp /var/tmp none none 0 0
# mount | grep -e "^/tmp" | grep /var/tmp
/tmp on /var/tmp type none (rw,bind)
これを試して達成するために、私は2つのタスクを書きました。
mount:
name: /var/tmp
src: /tmp
fstype: none
opts: rw,bind
state:mounted
そして
lineinfile:
dest: /etc/fstab
state: present
regexp: '^\/tmp'
line: '/tmp /var/tmp none bind 0 0'
質問:
- "/tmp /var/tmp none none 0 0" は、実際に正しい予想出力ですか? 「/tmp /var/tmp none バインディング 0 0」を必要とする nessus 監査ファイルがあります。どちらが正しいですか?
- 現時点では、これら2つの作業はすごいものではありません。マウントモジュールはfstabファイルを実行して変更し、lineinfileモジュールはfstabファイルの変更を上書きします。プレイするたびに、両方のジョブが実行され変更されます。この問題を解決する方法はありますか?
- これがこのコントロールを修正する正しい方法ですか?この問題を解決するためのよりきれいな方法があるかどうかはわかりません。
ありがとうございます。
答え1
PDFの「レビュー」セクションにあるタイプミスです。 「なし」項目はエラーを発生させますが、「なしバインド」(「修正」セクションの)は機能するためです。
% grep /var/tmp /etc/fstab
/tmp /var/tmp none none 0 0
% sudo mount -a
mount: unknown filesystem type 'none'
% sudo ed /etc/fstab
832
/\/var\/tmp
/tmp /var/tmp none none 0 0
s/none 0/bind 0
/tmp /var/tmp none bind 0 0
w
832
q
% sudo mount -a
%