opstree_devops.linux_armour
Ansible Rolle: osm_linux_armour
Diese Ansible-Rolle befasst sich mit der Prüfung von Ubuntu gemäß dem CIS-Benchmark.
| S. Nr. | Dienste | Überprüfungen |
|---|---|---|
| 1. | Sonderdienste | Stellen Sie sicher, dass Avahi, DHCP, LDAP-Server nicht aktiviert ist |
| 2. | Dienstclient | Stellen Sie sicher, dass rsh, telnet, LDAP-Client nicht installiert ist |
| 3. | inetd-Dienste | Stellen Sie sicher, dass der Telnet-Server, nicht verwendete Dienste und rsh-Server nicht installiert sind |
| 4. | Protokollierung und Überwachung | auditd ist installiert und aktiviert, Größe des Speicherplatzes für Auditprotokolle, das System ist deaktiviert, wenn die Auditprotokolle voll sind, Auditprotokolle werden nicht automatisch gelöscht, Anmelde- und Abmeldeereignisse werden erfasst, Informationen zum Sitzungsstart werden erfasst |
| 5. | Dateisystemkonfiguration | Deaktivieren Sie nicht verwendete Dateisysteme, stellen Sie sicher, dass das Sticky-Bit auf allen weltweit beschreibbaren Verzeichnissen gesetzt ist (verwenden Sie ein Argument ausführbar: /bin/bash im Fehlerfall), Automatisches Montieren deaktivieren. |
| 6. | Berechtigungen für Systemdateien | Stellen Sie sicher, dass passwd, passwd-, group, group-, shadow, shadow-, gshadow, gshadow- konfiguriert sind |
| 7. | Überprüfung der Dateisystemintegrität | Stellen Sie sicher, dass die Integrität des Dateisystems regelmäßig überprüft wird |
| 8. | Zusätzliche Prozesshärtung | Stellen Sie sicher, dass Core-Dumps eingeschränkt sind und Prelink deaktiviert ist |
| 9. | Netzwerkkonfiguration Host | Stellen Sie sicher, dass IP-Weiterleitung und das Senden von Paketumleitungen deaktiviert sind und verdächtige Pakete protokolliert werden |
| 10. | Netzwerkkonfiguration Host und Router | Stellen Sie sicher, dass gefälschte ICMP-Antworten ignoriert werden, Reverse Path Filtering aktiviert ist, TCP SYN Cookies aktiviert sind |
| 11. | TCP Wrapper | Stellen Sie sicher, dass die Berechtigungen auf /etc/hosts.allow und /etc/hosts.deny konfiguriert sind |
| 12. | Ungewöhnliche Netzwerkprotokolle | Stellen Sie sicher, dass DCCP und SCTP deaktiviert sind |
| 13. | Sichere Boot-Einstellungen | Stellen Sie sicher, dass die Berechtigungen für die Bootloader-Konfiguration konfiguriert sind und eine Authentifizierung im Einbenutzermodus erforderlich ist |
| 14. | Verpflichtende Zugriffskontrolle | Überprüft den Status und stellt sicher, dass SETroubleshoot nicht installiert ist, wenn es aktiviert ist |
Versionsverlauf
| Datum | Version | Beschreibung | Geändert von |
|---|---|---|---|
| 27. Feb | v0.0.1 | Um das Betriebssystem (Ubuntu) basierend auf wichtigen (bewerteten) CIS-Benchmarks zu härten | Anjali Singh |
| 08. Aug | v0.0.2 | Unterstützung für Centos hinzugefügt | Anjali Singh |
Wichtige Funktionen
- Diese Rolle konfiguriert das Betriebssystem basierend auf dem wesentlichen CIS-Benchmark.
Unterstützte Betriebssysteme
- Ubuntu:bionic
- Centos:8
Abhängigkeiten
- Python sollte auf dem Testserver vorhanden sein.
Variablen der Rolle
Es gibt zwei Arten von Variablen, nämlich zwingend erforderlich und optional. Zwingend erforderliche Variablen sind diejenigen, die gemäß dem CIS-Benchmark konfiguriert werden müssen, und optionale Variablen hängen von dem Dienst ab, den man verwendet. Sie können je nach Anforderungen aktiviert oder deaktiviert werden.
Zwingend erforderliche Variablen
| Variablen | Standardwerte | Beschreibung |
|---|---|---|
| System_Datei_Berechtigungen | host.conf, hostname, hosts, hosts.allow, hosts.deny, passwd, passwd-, shadow, shadow-, gshadow, gshadow-, group, group- | Besondere Dateien, deren Berechtigungen geändert werden. |
| os_packages_clean | true | Veraltete Pakete werden entfernt |
| os_packages_list | xinetd, inetd, ypserv, telnet-server, telnet-client, rsh-server, rsh-client, prelink, openldap-clients, openldap2-client, ldap-utils | Deaktivieren Sie diese Dienste, wenn sie nicht benötigt werden |
| audit_package | auditd | Dies wird verwendet, um alle Protokolle aufzuzeichnen |
Optionale Variablen
| Variablen | Optionale Werte | Beschreibung |
|---|---|---|
| os_services_name | avahi-daemon, dhcpd, slapd, named | Sonderdienste, die gestoppt werden können, wenn sie nicht benötigt werden |
| audit_max_log_file | 5 | Anzahl der Protokolldateien, die behalten werden sollen |
| os_audit_max_log_file_action | keep_logs | Um Protokolle zu speichern |
Inventar
Ein Inventar sollte folgendermaßen aussehen:
[osconfig]
192.168.1.198 ansible_user=ubuntu
Beispiel-Playbook
- Hier ist ein Beispiel-Playbook :-
---
- name: OS-Prüfung
hosts: osconfig
become: true
roles:
- role: osm_linux_armour
Zukünftige vorgeschlagene Änderungen
Wird gemäß den CIS-Benchmarks von 2020 aktualisiert.
Referenzen
Autoreninformationen
Installieren
ansible-galaxy install opstree_devops.linux_armourLizenz
Unknown
Downloads
334
Besitzer