scathatheworm.security-settings
ansible-security-settings
Ansible-Rolle zur Durchsetzung von Sicherheitseinstellungen im Zusammenhang mit Unternehmensvorgaben auf Betriebssystemen für Unternehmen
Beschreibung
Diese Rolle konfiguriert mehrere Sicherheitseinstellungen, darunter Login, Passwortverwaltung, SSH, PAM, SELinux und andere. Sie ist für die Vorgaben zur Unternehmenssicherheit konzipiert.
Konfiguriert:
- PAM tally und faillock-Module für automatischen Account-Sperre bei fehlgeschlagenen Anmeldungen
- Passwortverlauf
- Passwortkomplexität
- SSH-Port, Root-Login, Banner, Chiffre, Portweiterleitungseinstellungen
- SELinux- und Firewallstatus
- Shell-Zeitüberschreitung
- Deaktivierung von physischem Sendebreak und Strg-Alt-Entf
- Linux auditd-Konfiguration
- Firewallstatus
- Magic SysRq-Konfiguration
Passwortalterungsvariablen:
| Name | Standardwert | Beschreibung |
|---|---|---|
os_auth_pw_max_age |
60 | Maximaler Zeitraum in Tagen, bevor ein Passwort geändert werden muss |
os_auth_pw_min_age |
10 | Minimaler Zeitraum in Tagen, den ein Passwort haben muss, bevor es geändert werden kann |
os_auth_pw_warn_age |
7 | Tage, bevor das Passwort abläuft, bei denen der Account gewarnt wird |
passhistory |
6 | Anzahl der zu merkenden Passwörter, um Wiederverwendung zu vermeiden |
Passwortkomplexitätsvariablen:
| Name | Standardwert | Beschreibung |
|---|---|---|
pwquality_minlen |
8 | Minimale Passwortlänge in Zeichen |
pwquality_maxrepeat |
3 | Maximal erlaubte Anzahl identischer Zeichen im Passwort |
pwquality_lcredit |
-1 | Anzahl der Kleinbuchstaben, die im Passwort enthalten sein müssen, z.B. '-2' für zwei |
pwquality_ucredit |
-1 | Anzahl der Großbuchstaben, die im Passwort enthalten sein müssen, z.B. '-2' für zwei |
pwquality_dcredit |
-1 | Anzahl der Ziffern, die im Passwort enthalten sein müssen, z.B. '-2' für zwei |
pwquality_ocredit |
-1 | Anzahl der Sonderzeichen, die im Passwort enthalten sein müssen, z.B. '-2' für zwei |
solaris_dictionary_minwordlength |
5 | Minimale Wortlänge im Wörterbuch für Solaris |
Konto-Inaktivität und fehlgeschlagene Anmeldevariablen:
| Name | Standardwert | Beschreibung |
|---|---|---|
fail_deny |
5 | Anzahl fehlgeschlagener Anmeldeversuche, bevor das Konto gesperrt wird |
fail_unlock |
0 | Sekunden, die vergehen, bevor das Konto nach fehlgeschlagenen Anmeldungen entsperrt wird. Bei 0 bleibt die automatische Entsperrung deaktiviert |
inactive_lock |
0 | Anzahl der Tage, die ein Konto inaktiv sein kann, bevor es gesperrt wird. Ein Wert von 0 deaktiviert die Sperrung bei Inaktivität |
shell_timeout |
900 | Gewünschte Zeitüberschreitung der Shell in Sekunden, setze 0, um zu deaktivieren |
Systemdienste und Einstellungen Variablen:
| Name | Standardwert | Beschreibung |
|---|---|---|
selinux_state |
permissive | SELinux-Konfigurationswert |
firewall_check |
false | Konfiguriert, ob die Rolle die Firewall-Einstellungen überprüfen soll |
firewall_state |
stopped | Gewünschter Status der Firewall |
firewall_enable |
'no' | Gewünschter Konfigurationsstatus der Firewall |
disable_ctrlaltdel |
True | Ob Strg-Alt-Entf und physisches Sendebreak in Solaris deaktiviert werden sollen |
solaris_disable_services |
false | Deaktivieren unsicherer Solaris-Dienste |
magic_sysrq |
1 | Wert der Einstellung kernel.sysrq in Linux, wie vom Linux-Kernel akzeptiert |
SSH-Konfigurationsvariablen:
| Name | Standardwert | Beschreibung |
|---|---|---|
sshrootlogin |
'no' | Erlauben Sie den SSH-Root-Login, behalten Sie die einfachen Anführungszeichen, um die boolesche Auswertung zu vermeiden |
sshportforwarding |
'no' | Konfigurierte Optionen für die Portweiterleitung, Werte wie in der Konfigurationsdatei: yes, no, remote, local |
sshmainport |
22 | Haupt-SSH-Port |
sshextraport |
0 | Sekundärer SSH-Port, auf 0 setzen, um einen zusätzlichen Port zu deaktivieren |
setloginbanner |
true | Verwenden Sie einen Anmeldebanner in SSH |
sshd_solaris_restrict_ipv4 |
True | SSH-Verbindungen auf IPv4 in Solaris beschränken als Workaround für DISPLAY-Probleme |
ssh_enforce_ciphers |
True | Erzwingen starker Chiffren und MACs in SSH, false deaktiviert und erlaubt alle unterstützten MACs und Chiffren |
sha1_mac_enabled |
False | Deaktivieren Sie die Verwendung von SHA1 HMACs in SSH; theoretische Angriffsvektoren sind vorhanden |
md5_mac_enabled |
False | Deaktivieren Sie die Verwendung von MD5 HMACs in SSH; bekannte Sicherheitsanfälligkeiten und Angriffsvektoren sind vorhanden |
truncated_mac_enabled |
False | Deaktivieren Sie die Verwendung von MD5 oder SHA1 verkürzten 96-Bit-HMACs in SSH; kürzere Teilmengen von MD5 und SHA1 |
cbc_ciphers_enabled |
False | Deaktivieren Sie die Verwendung von Cipher Block Chaining Modus-Chiffren in SSH; als anfällig für mehrere Padding on Oracle-Angriffe angesehen |
sweet32_ciphers_enabled |
False | Aktivieren Sie die Verwendung von 64-Bit Cipher Block Chaining Modus-Chiffren in SSH; als anfällig für den SWEET32-Angriff angesehen |
rc4_ciphers_enabled |
False | Aktivieren Sie die Verwendung von Arcfour-Chiffren in SSH; als anfällig mit praktisch vorhandenen Angriffen angesehen |
nist_curves_enabled |
false | Deaktivieren Sie die NIST KEX-Kurvenkryptographie, da sie in mehreren Aspekten schwach sind |
logjam_sha1_enabled |
false | Deaktivieren Sie SHA1 KEX-Algorithmen, die anfällig für Logjam-Angriffe sind |
Audit-Konfigurationsvariablen:
| Name | Standardwert | Beschreibung |
|---|---|---|
auditd_configure: |
true | Aktivieren Sie das Management der auditd-Konfiguration |
auditd_max_log_filesize |
25 | Maximale Logdateigröße in MB |
auditd_num_logs |
8 | Maximale Anzahl an Audit-Logs, die aufbewahrt werden können |
security_audit_datetime_changes |
true | auditd verfolgt alle Änderungen von Datum oder Uhrzeit |
security_audit_account_modifications |
true | auditd verfolgt alle Kontomodifikationen |
security_audit_network_changes |
true | auditd verfolgt alle Änderungen an den Netzwerkkonfigurationen |
security_audit_selinux_changes |
true | auditd verfolgt Änderungen an SELinux-Konfigurationen |
security_audit_permission_changes |
false | auditd verfolgt alle Änderungen an Datei-Berechtigungen |
security_audit_fileaccess_failedattempts |
false | auditd verfolgt alle unautorisierten Zugriffsversuche auf Dateien |
security_audit_filesystem_mounts |
true | auditd verfolgt alle Einhänge-/Aushangle von Dateisystemen |
security_audit_deletions |
false | auditd verfolgt alle Dateilöschungen |
security_audit_sudoers |
true | auditd verfolgt alle Änderungen an sudoers-Regeln |
security_audit_kernel_modules |
false | auditd verfolgt alle Moduloperationen sowie Sysctl-Konfigurationen |
security_audit_logon |
true | auditd verfolgt alle Anmeldungen/Abmeldungen/Sitzungen |
security_audit_elevated_privilege_commands |
true | auditd verfolgt alle Befehle mit erhöhten Rechten |
security_audit_all_commands |
false | auditd verfolgt ALLE Befehle |
security_audit_log_integrity |
false | auditd überwacht die Integrität von Protokollen und deren Konfiguration |
security_audit_configuration_immutable |
false | auditd macht seine Regeln unveränderlich; ein Neustart ist erforderlich, um Änderungen vorzunehmen |
security_audit_custom_rules |
leer | Dies ist eine mehrzeilige Variable, die, falls definiert, vollständige Auditregeln enthalten sollte, die zur Konfigurationsdatei hinzugefügt werden |
Über das Projekt
Ansible Role for enforcing security settings related to enterprise compliance on enterprise grade OS.
Installieren
ansible-galaxy install scathatheworm.security-settingsLizenz
gpl-2.0
Downloads
118
Besitzer
IT stuff.