Enterprise-Grade Security Compliance Automation für Linux-Systeme Automatisiert manuelle Sicherheitsaudits in reproduzierbare, revisionssichere und skalierbare Prozesse.
Klassische Linux-Sicherheitsaudits sind oft:
- manuell und zeitintensiv
- inkonsistent zwischen Systemen
- schlecht dokumentiert
- schwer nachvollziehbar für Auditoren
Das Ansible Security Audit Framework bietet eine produktionsreife Plattform zur vollständigen Automatisierung von Linux-Sicherheitsaudits:
- ✅ 18+ sicherheitsrelevante Prüfungen in wenigen Minuten
- ✅ Klare, einheitliche Risikoklassifizierung
- ✅ Automatisch generierte HTML-Berichte
- ✅ Ausrichtung an CIS-Benchmarks und Best Practices
- ✅ Deutliche Reduktion von Audit- und Behebungszeiten
Zur Vermeidung von Darstellungsproblemen (z. B. Dark Mode, PDF-Exporte) werden Farbe und Text immer kombiniert:
- 🔴 KRITISCH (Rot) – Sofortige Aktion erforderlich (0–24 Stunden)
- 🟠 MITTEL (Orange) – Innerhalb von 7 Tagen beheben
- 🟢 NIEDRIG (Grün) – Für nächsten Wartungszeitraum planen
Akut ausnutzbare Schwachstellen oder direkte Privilegieneskalation:
- NOPASSWD sudo-Einträge
- World-writable Systemdateien
- Deaktivierter ASLR-Schutz
- Offener SSH-Root-Login
Sicherheitsrelevante Abweichungen ohne unmittelbaren Exploit:
- Fehlende Sicherheitspakete
- Unsichere Mount-Optionen
- Unnötige Kernel-Module
- Veraltete oder schwache Passwortrichtlinien
Keine akute Gefährdung, Fokus auf Härtung und Optimierung:
- Informatorische Funde
- Best-Practice- und Härtungsempfehlungen
| Prüfung | Beschreibung | Risiko | CIS |
|---|---|---|---|
| Passwortrichtlinien | Länge, Ablauf, Komplexität | 🔴 Kritisch | 5.4.1 |
| SSH-Härtung | Root-Login, Auth-Methoden | 🔴 Kritisch | 5.2.8 |
| Sudo-Konfiguration | NOPASSWD, Wildcards | 🔴 Kritisch | 5.3.1 |
| SUID/SGID-Dateien | Privilege-Escalation-Vektoren | 🟠 Mittel | 6.1.10 |
| Prüfung | Beschreibung | Risiko | CIS |
|---|---|---|---|
| ASLR-Status | Kernel-Speicher-Randomisierung | 🔴 Kritisch | 1.5.3 |
| Kernel-Module | Unnötige / gefährliche Module | 🟠 Mittel | 1.1.1 |
| Mount-Optionen | noexec / nosuid / nodev | 🟠 Mittel | 1.1.2 |
| Dateiberechtigungen | World-writable Dateien | 🔴 Kritisch | 6.1.2 |
| Prüfung | Beschreibung | Risiko | CIS |
|---|---|---|---|
| Firewall-Status | UFW aktiv / korrekt | 🔴 Kritisch | 3.5.1 |
| Offene Ports | Lauschen unnötiger Dienste | 🔴 Kritisch | 3.1.1 |
| Services | Unsichere Defaults | 🟠 Mittel | 3.2.1 |
| Prüfung | Beschreibung | Risiko | CIS |
|---|---|---|---|
| Auditd | System-Auditing aktiv | 🟠 Mittel | 4.1.1 |
| SELinux | Enforcing-Status | 🟠 Mittel | 1.6.1 |
| Sicherheitspakete | fail2ban, Updates | 🟢 Niedrig | 1.8.1 |
| Cron-Jobs | Verdächtige Tasks | 🔴 Kritisch | 5.1.1 |
ansible --version # >= 2.9git clone https://github.com/wm87/ansible-security-audit.git
cd ansible-security-audit
bash run_secure_audit.shcd ansible-local-security-audit
ansible-playbook -i inventory site.yml
# Report gespeichert unter:
# /bigdata/tmp/ansible-security-audit/security_report_localhost.htmlDas Framework erzeugt automatisch strukturierte HTML-Berichte mit:
- Executive Summary
- Ampelbasierter Risikobewertung
- Technischen Nachweisen
- CIS-Mapping
- Priorisiertem Maßnahmenplan (24h / 7 Tage / planbar)
ansible-security-audit/
├── create_local_security_audit.sh
├── README.md
├── LICENSE
├── generated-project/
│ ├── site.yml
│ ├── inventory
│ ├── vars/main.yml
│ └── roles/
│ ├── password_policy/
│ ├── ssh_hardening/
│ ├── sudo_check/
│ ├── firewall_check/
│ ├── kernel_security/
│ └── report/
└── reports/
| Rolle | Nutzung |
|---|---|
| Security Officer | Richtlinien & Risikoüberblick |
| Systemadministrator | Technische Behebung |
| DevOps | CI/CD-Integration |
| Auditor | Compliance-Nachweise |
| Management | KPIs & Executive Summary |
- Lizenz: MIT
- Keine Telemetrie, keine externen Abhängigkeiten
- Lokale Ausführung
- Transparenter, auditierbarer Code
🔐 Automatisieren Sie Linux-Sicherheitsaudits – klar priorisiert, nachvollziehbar und skalierbar.