florianutz.Ubuntu1604-CIS

Überblick Versionen Einblicke

Ubuntu 16.04 CIS STIG

Build-Status Ansible-Rolle

Konfigurieren Sie einen Ubuntu 16.04 Computer so, dass er den CIS-Richtlinien entspricht. Die Ergebnisse der Stufen 1 und 2 werden standardmäßig korrigiert.

Diese Rolle wird Änderungen am System vornehmen, die Probleme verursachen können. Dies ist kein Auditing-Tool, sondern ein Werkzeug zur Behebung von Problemen nach einem Audit.

WICHTIGER INSTALLATIONSSCHRITT

Wenn Sie dies über den Befehl ansible-galaxy installieren möchten, müssen Sie es wie folgt ausführen:

ansible-galaxy install -p roles -r requirements.yml

Mit folgendem Inhalt in der Datei requirements.yml:

- src: https://github.com/florianutz/Ubuntu1604-CIS.git

Basierend auf CIS Ubuntu Benchmark v1.1.0 - 28-12-2017.

Dieses Repository entstand aus der Arbeit von MindPointGroup

Anforderungen

Sie sollten die Aufgaben sorgfältig durchlesen, um sicherzustellen, dass diese Änderungen Ihre Systeme nicht beeinträchtigen, bevor Sie dieses Playbook ausführen.

Rollenvaiablen

Es gibt viele Rollenvaiablen, die in defaults/main.yml definiert sind. Diese Liste zeigt die wichtigsten.

ubuntu1604cis_notauto: Führen Sie CIS-Überprüfungen durch, die wir normalerweise nicht automatisieren möchten, da eine hohe Wahrscheinlichkeit besteht, dass das System beschädigt wird (Standard: falsch)

ubuntu1604cis_section1: CIS - Allgemeine Einstellungen (Abschnitt 1) (Standard: wahr)

ubuntu1604cis_section2: CIS - Einstellung für Dienste (Abschnitt 2) (Standard: wahr)

ubuntu1604cis_section3: CIS - Netzwerkeinstellungen (Abschnitt 3) (Standard: wahr)

ubuntu1604cis_section4: CIS - Protokoll- und Audit-Einstellungen (Abschnitt 4) (Standard: wahr)

ubuntu1604cis_section5: CIS - Einstellungen für Zugriff, Authentifizierung und Autorisierung (Abschnitt 5) (Standard: wahr)

ubuntu1604cis_section6: CIS - Einstellungen zur Systemwartung (Abschnitt 6) (Standard: wahr)

Alle SELinux-Funktionen deaktivieren

ubuntu1604cis_selinux_disable: false

Dienstvariablen:
Diese steuern, ob ein Server weiterhin diese Dienste ausführen darf oder nicht
ubuntu1604cis_avahi_server: false  
ubuntu1604cis_cups_server: false  
ubuntu1604cis_dhcp_server: false  
ubuntu1604cis_ldap_server: false  
ubuntu1604cis_telnet_server: false  
ubuntu1604cis_nfs_server: false  
ubuntu1604cis_rpc_server: false  
ubuntu1604cis_ntalk_server: false  
ubuntu1604cis_rsyncd_server: false  
ubuntu1604cis_tftp_server: false  
ubuntu1604cis_rsh_server: false  
ubuntu1604cis_nis_server: false  
ubuntu1604cis_snmp_server: false  
ubuntu1604cis_squid_server: false  
ubuntu1604cis_smb_server: false  
ubuntu1604cis_dovecot_server: false  
ubuntu1604cis_httpd_server: false  
ubuntu1604cis_vsftpd_server: false  
ubuntu1604cis_named_server: false  
ubuntu1604cis_bind: false  
ubuntu1604cis_vsftpd: false  
ubuntu1604cis_httpd: false  
ubuntu1604cis_dovecot: false  
ubuntu1604cis_samba: false  
ubuntu1604cis_squid: false  
ubuntu1604cis_net_snmp: false
Server als Mailserver kennzeichnen

ubuntu1604cis_is_mail_server: false

Systemnetzwerkparameter (nur Host ODER Host und Router)

ubuntu1604cis_is_router: false

IPv6 erforderlich

ubuntu1604cis_ipv6_required: true

AIDE

ubuntu1604cis_config_aide: true

AIDE Cron-Einstellungen
ubuntu1604cis_aide_cron:
  cron_user: root
  cron_file: /etc/crontab
  aide_job: '/usr/sbin/aide --check'
  aide_minute: 0
  aide_hour: 5
  aide_day: '*'
  aide_month: '*'
  aide_weekday: '*'
SELinux-Richtlinie

ubuntu1604cis_selinux_pol: targeted

Auf 'true' setzen, wenn X Windows in Ihrer Umgebung benötigt wird

ubuntu1604cis_xwindows_required: no

Anforderungen an Client-Anwendungen
ubuntu1604cis_openldap_clients_required: false
ubuntu1604cis_telnet_required: false
ubuntu1604cis_talk_required: false  
ubuntu1604cis_rsh_required: false
ubuntu1604cis_ypbind_required: false
Zeitsynchronisation
ubuntu1604cis_time_synchronization: chrony
ubuntu1604cis_time_Synchronization: ntp

ubuntu1604cis_time_synchronization_servers:
    - 0.pool.ntp.org
    - 1.pool.ntp.org
    - 2.pool.ntp.org
    - 3.pool.ntp.org
3.4.2 | PATCH | Sicherstellen, dass /etc/hosts.allow konfiguriert ist
ubuntu1604cis_host_allow:
  - "10.0.0.0/255.0.0.0"  
  - "172.16.0.0/255.240.0.0"  
  - "192.168.0.0/255.255.0.0"    

ubuntu1604cis_firewall: firewalld
ubuntu1604cis_firewall: iptables

Abhängigkeiten

Ansible > 2.2

Beispiel-Playbook

- name: Server absichern
  hosts: servers
  become: yes

  roles:
    - Ubuntu1604-CIS

Tags

Viele Tags stehen zur Verfügung, um genau zu steuern, was geändert wird und was nicht.

Einige Beispiele zur Verwendung von Tags:

    # Audit und Patchen der Seite
    ansible-playbook site.yml --tags="patch"

Lizenz

MIT

Über das Projekt

Ansible role to apply Ubuntu 16.04 CIS Baseline

role cis hardening security system
Installieren
ansible-galaxy install florianutz.Ubuntu1604-CIS
GitHub Repository
89 Sterne
49 Forks
13 Offene Issues
Lizenz
mit
Downloads
17.6k
Besitzer