CIS 기본 표준에 따라 centos6.7 가상 머신을 강화하고 있습니다. 저는 최대한 자동화하기 위해 Ansible을 사용합니다.
제가 사용하는 보강 문서는 다음과 같습니다(12-13페이지). https://benchmarks.cisecurity.org/tools2/linux/CIS_CentOS_Linux_6_Benchmark_v1.1.0.pdf
다음 2가지 확인 사항과 기대 사항이 포함된 컨트롤 1.1.6을 구현하려고 합니다.
# grep -e "^/tmp" /etc/fstab | grep /var/tmp
/tmp /var/tmp none none 0 0
# mount | grep -e "^/tmp" | grep /var/tmp
/tmp on /var/tmp type none (rw,bind)
이를 시도하고 달성하기 위해 나는 두 가지 작업을 작성했습니다.
mount:
name: /var/tmp
src: /tmp
fstype: none
opts: rw,bind
state:mounted
그리고
lineinfile:
dest: /etc/fstab
state: present
regexp: '^\/tmp'
line: '/tmp /var/tmp none bind 0 0'
질문:
- "/tmp /var/tmp none none 0 0"이 실제로 올바른 예상 출력입니까? "/tmp /var/tmp none 바인딩 0 0"이 필요한 nessus 감사 파일이 있습니다. 어느 것이 맞습니까?
- 현재로서는 이 두 작업은 멱등성이 없습니다. 마운트 모듈은 fstab 파일을 실행하고 수정하며, lineinfile 모듈은 fstab 파일의 변경 사항을 덮어씁니다. 플레이할 때마다 두 작업이 모두 실행되고 변경됩니다. 이 문제를 해결할 수 있는 방법이 있나요?
- 이것이 이 컨트롤을 수정하는 올바른 방법입니까? 이 문제를 해결하는 더 깔끔한 방법이 있는지 잘 모르겠습니다.
감사해요.
답변1
PDF의 "검토" 섹션에 있는 오타입니다. "없음 없음" 항목은 오류를 발생시키는 반면 "없음 바인드"("수정" 섹션의)는 작동하기 때문입니다.
% grep /var/tmp /etc/fstab
/tmp /var/tmp none none 0 0
% sudo mount -a
mount: unknown filesystem type 'none'
% sudo ed /etc/fstab
832
/\/var\/tmp
/tmp /var/tmp none none 0 0
s/none 0/bind 0
/tmp /var/tmp none bind 0 0
w
832
q
% sudo mount -a
%