Como vincular o Mount / var / tmp ao / tmp usando os padrões Ansible e CIS

Navegue suas respostas
1

Eu estou endurecendo os padrões de benchmark centos6.7 VM para CIS. Eu estou automatizando o máximo que posso usando o Ansible.

O documento de proteção que estou usando é (página 12-13): link

Estou tentando implementar o controle 1.1.6, que possui as 2 verificações a seguir e espera: 

# grep -e "^/tmp" /etc/fstab | grep /var/tmp
/tmp /var/tmp none none 0 0
# mount | grep -e "^/tmp" | grep /var/tmp
/tmp on /var/tmp type none (rw,bind)

Para tentar realizar isso, escrevi 2 tarefas: 

mount:
  name: /var/tmp
  src: /tmp
  fstype: none
  opts: rw,bind
  state:mounted

e 

lineinfile:
  dest: /etc/fstab
  state: present
  regexp: '^\/tmp'
  line: '/tmp /var/tmp none bind 0 0'

Perguntas:

  1. é "/ tmp / var / tmp none none 0 0" realmente a saída esperada correta? Eu tenho um arquivo de auditoria nessus que está esperando "/ tmp / var / tmp nenhuma ligação 0 0" Qual deles está correto?
  2. No estado atual, essas duas tarefas não são idempotentes. O módulo de montagem é executado e modifica o arquivo fstab e, em seguida, o módulo lineinfile reescreve o que foi alterado no arquivo fstab. Toda vez que a jogada é executada, ambas as tarefas são executadas e fazem alterações. Existe uma maneira de remediar isso?
  3. Esta é a maneira correta de abordar a correção desse controle? Não tenho certeza se existe uma maneira mais clara de abordar isso.

Obrigado.

    
por JaReg 24.11.2015 / 17:54

1 resposta

2

Este é um erro de digitação na seção "Auditoria" do PDF, pois uma entrada "nenhum nenhum" resulta em erro, enquanto "nenhum vinculado" (da seção "Correção") funciona: 

% grep /var/tmp /etc/fstab 
/tmp /var/tmp none none 0 0
% sudo mount -a           
mount: unknown filesystem type 'none'
% sudo ed /etc/fstab 
832
/\/var\/tmp
/tmp /var/tmp none none 0 0
s/none 0/bind 0
/tmp /var/tmp none bind 0 0
w
832
q
% sudo mount -a     
%
    
por 24.11.2015 / 18:44

Tags

Alternativa de tempo limite de lote? Como posso encontrar todos os arquivos cujo nome começa com “tty” no diretório / dev com todas as informações do arquivo?