<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On 13 January 2016 at 15:10, Major Hayden <span dir="ltr"><<a href="mailto:major@mhtx.net" target="_blank">major@mhtx.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br>
For example, the STIG requires[1] that all system accounts other than root are locked.  This could be dangerous on a running production system as Ubuntu has non-root accounts that are not locked.  At the moment, the playbook does a hard stop (using the fail module) when this check fails[2].  Although that can be skipped with --skip-tag, it can be a little annoying if you have automation that depends on the playbook running without stopping.<br>
<br>
Is there a good alternative for this?  I've found a few options:<br>
<br>
  1) Leave it as-is and do a hard stop on these tasks<br>
  2) Print a warning to the console but let the playbook continue<br>
  3) Use an Ansible callback plugin to catch these and print them at the end of the playbook run<br>
<br>
Thanks in advance for any advice!<br>
<br>
[1] <a href="https://www.stigviewer.com/stig/red_hat_enterprise_linux_6/2015-05-26/finding/V-38496" rel="noreferrer" target="_blank">https://www.stigviewer.com/stig/red_hat_enterprise_linux_6/2015-05-26/finding/V-38496</a><br>
[2] <a href="https://github.com/openstack/openstack-ansible-security/blob/master/tasks/auth.yml#L60-L87" rel="noreferrer" target="_blank">https://github.com/openstack/openstack-ansible-security/blob/master/tasks/auth.yml#L60-L87</a></blockquote><div><br></div><div>I think the best thing to do here is to take a stance on what the project/role deems to be a good set of defaults for the environment its catering for. Whatever that stance is should be rigorously enforced (ie the playbook should hard stop if there is non-compliance).</div><div><br></div><div>For anyone using automation, if they wish to skip particular compliance elements then they should build the skip into their automation (ie add --skip-tags). Skipping compliance should be a conscious action implemented deliberately by the consumer of the role.</div><div><br></div><div>Darren's reply is interesting and perhaps worth consideration. As far as I recall the security role adopted the STIG primarily because it was the only openly available set of standards that didn't require licensing. If there are other options to explore and ways to consume them, then perhaps that should be an initiative for the Newton cycle?</div></div>
</div></div>