2026/01/08 2:38
**Ansibleベースのハードニングプレイブック** - **Linux** - カーネルのセキュリティ強化(sysctl のチューニング) - ユーザーと権限管理 - 不要なデーモンのサービス停止 - **SSH** - キー認証を必須にする - root ログイン・パスワード認証を無効化 - SSH 設定の強化(ポート、タイムアウト、レートリミット) - **Nginx** - セキュリティヘッダー設定(HSTS、CSP、X‑Frame‑Options) - TLS/SSL のハードニング(暗号スイート、OCSP スターピング) - レートリミットとログ管理 - **MySQL** - 強固な root パスワード・最小権限設定 - SSL 接続の強制 -監査ログと自動バックアップの実装
RSS: https://news.ycombinator.com/rss
要約▶
日本語訳:
要約
Ansible コレクションは、Inspec DevSec ベースラインに明示的に準拠した、広範な Linux ディストリビューションと一般的なサービス向けの実証済みハードニングを提供します。devsec.hardening
対応プラットフォーム & ソフトウェア
- Linux OS: CentOS Stream 9; AlmaLinux 8/9/10; Rocky Linux 8/9/10; Debian 11/12/13; Ubuntu 20.04/22.04/24.04; Amazon Linux(一部ロール); Arch Linux(一部ロール); Fedora 39/40(一部ロール); Suse Tumbleweed(一部ロール)。
- データベース: MySQL ≥ 5.7.31, ≥ 8.0.3; MariaDB ≥ 5.5.65, ≥ 10.1.45, ≥ 10.3.17。
- Web / SSH: Nginx ≥ 1.0.16; OpenSSH ≥ 5.3。
このコレクションは Ansible ≥ 2.16 を必要とします。
ロール & 構成
- 含まれるロール:
,os_hardening
,mysql_hardening
,nginx_hardening
.ssh_hardening - 追加ハードニング用の別アーカイブ(現在開発中):
とapache_hardening
.windows_hardening - 元のスタンドアロン
ロールは古いタグで保持されており、最新リリースは 6.2.0 です。os-hardening
すべてのロールは対応する Inspec リポジトリ(
inspec-devsec-baseline-linuxmysqlnginxsshインストール & 使用方法
ansible-galaxy collection install devsec.hardening
各ロールの README には使用例が記載されており、Ansible の「Using collections」ドキュメントにも追加ガイダンスがあります。
ガバナンス
- リポジトリに変更ログ、貢献ガイドライン、およびロードマップが用意されています。
- ロードマップの項目には Apache と Windows ハードニングロールの完成と OS でのカバレッジ拡大が含まれます。
このコレクションは Apache License 2.0 の下でリリースされます。
本文
Ansible コレクション – devsec.hardening
説明
本コレクションは、以下の環境で検証済みのハードニングを提供します。
-
Linux オペレーティングシステム:
- CentOS Stream 9
- AlmaLinux 8/9/10
- Rocky Linux 8/9/10
- Debian 11/12/13
- Ubuntu 20.04/22.04/24.04
- Amazon Linux(一部ロールがサポート)
- Arch Linux(一部ロールがサポート)
- Fedora 39/40(一部ロールがサポート)
- SUSE Tumbleweed(一部ロールがサポート)
-
MySQL / MariaDB:
- MariaDB ≥ 5.5.65, ≥ 10.1.45, ≥ 10.3.17
- MySQL ≥ 5.7.31, ≥ 8.0.3
-
Nginx ≥ 1.0.16
-
OpenSSH ≥ 5.3
ハードニングは、InSpec DevSec ベースラインに準拠しています:
- https://github.com/dev-sec/linux-baseline
- https://github.com/dev-sec/mysql-baseline
- https://github.com/dev-sec/nginx-baseline
- https://github.com/dev-sec/ssh-baseline
レガシーロール
旧スタンドアロンロールは、以前のタグで本リポジトリに保持されています。
スタンドアロン
os-hardeningその他のレガシーロールは別途アーカイブに格納されています:
- apache_hardening
- mysql_hardening
- nginx_hardening
- ssh_hardening
- windows_hardening
必須 Ansible バージョン
Ansible ≥ 2.16
含まれるコンテンツ
| ロール | ステータス |
|---|---|
| os_hardening | ✅ |
| mysql_hardening | ✅ |
| nginx_hardening | ✅ |
| ssh_hardening | ✅ |
| apache_hardening | ⚠️ 開発中、動作未確認 |
| windows_hardening | ⚠️ 開発中、動作未確認 |
インストール
ansible-galaxy collection install devsec.hardening
使い方
各ロールの README に例が記載されています。一般的なガイドラインは次のとおりです:
- Ansible Using collections
コントリビューション
コントリビュータ向けガイドラインを参照してください。
リリースノート
変更履歴(changelog)をご覧ください。
ロードマップ / TODO
とapache_hardening
の完成windows_hardening- さらに多くのオペレーティングシステムへのサポート追加
参考資料
- Ansible Collection overview
- Ansible User guide
- Ansible Developer guide
- Ansible Collections Checklist
- Ansible Community Code of Conduct
- The Bullhorn (Ansible Contributor newsletter)
- Changes impacting Contributors
ライセンス
Apache License, Version 2.0(以下「ライセンス」)に基づきライセンスされています。
本ファイルを利用するには、ライセンスに従う必要があります。
ライセンスのコピーは http://www.apache.org/licenses/LICENSE-2.0 にて入手できます。
適用法令または書面による合意がない限り、本ソフトウェアは「現状有姿」ベースで配布され、明示的または暗黙的な保証(商品性、特定目的への適合性等)は一切ありません。詳細はライセンス本文をご確認ください。