リモートホスト内で Ansible によって実行されたコマンドを識別する方法について誰かが考えているかどうか知りたいです。
より多くのコンテキストを提供するために、ワークフローを詳細に説明します。
午前 1 時から午前 6 時の間にスケジュールされたジョブがあり、コンプライアンス Ansible Playbook を実行して、本番サーバーの構成が最新で適切に構成されていることを確認しますが、この Playbook は
/etcフォルダー内のいくつかのファイルを変更します。これに加えて、本番サーバーで何が起こっているかを監視し、疑わしいと説明するイベントが見つかったときにアラートを生成する Falco スタックを持っています (システムコール/ネットワーク接続/機密ファイル編集 "/etc/ passwd、pam.conf、...」など...
したがって、私が実行している問題は、私のプレイブックが次のようなアラートをトリガーすることです。
Warning Sensitive file opened for reading by non-trusted program (user=XXXX user_loginuid=XXX program=python3 command=python3 file=/etc/shadow parent=sh gparent=sudo ggparent=sh gggparent=sshd container_id=host image=<NA>)
私の質問は、すべての Ansible コマンドに「フラグまたはプレフィックス」を設定できますか?
PS:python3ユーザーのホワイトリスト登録rootは、私の意見では解決策ではありません。