opstree_devops.linux_armour
Rol de Ansible: osm_linux_armour
Este rol de Ansible se encarga de auditar Ubuntu según el estándar CIS.
| No. | Servicios | Verificaciones cubiertas |
|---|---|---|
| 1. | Servicios de Propósito Especial | Asegurarse de que Avahi, DHCP y el servidor LDAP no estén habilitados |
| 2. | Cliente de Servicio | Asegurarse de que rsh, telnet y el cliente LDAP no estén instalados |
| 3. | Servicios inetd | Asegurarse de que el servidor telnet, servicios descartados y servidor rsh no estén instalados |
| 4. | Registro y Auditoría | auditd está instalado y habilitado, tamaño de almacenamiento de registros de auditoría, el sistema está deshabilitado cuando los registros de auditoría están llenos, los registros de auditoría no se eliminan automáticamente, se recopilan eventos de inicio y cierre de sesión, se recopila información de iniciación de sesión |
| 5. | Configuración del Sistema de Archivos | Deshabilitar sistemas de archivos no utilizados, asegura que el sticky bit esté configurado en todos los directorios que se pueden escribir a nivel mundial (usar el argumento ejecutable: /bin/bash en caso de un error), deshabilitar el autocompletado. |
| 6. | Permisos de Archivos del Sistema | Asegurarse de que passwd, passwd-, group, group-, shadow, shadow-, gshadow, gshadow- están configurados |
| 7. | Verificación de Integridad del Sistema de Archivos | Asegurarse de que la integridad del sistema de archivos se verifique regularmente |
| 8. | Fortalecimiento de Procesos Adicional | Asegurarse de que se restrinjan volcados de memoria y se desactive prelink |
| 9. | Configuración de la Red del Host | Asegurarse de que el reenvío de IP y el envío de redirecciones de paquetes estén deshabilitados y que se registren paquetes sospechosos |
| 10. | Configuración de la Red del Host y el Router | Asegurarse de que se ignoren respuestas ICMP falsas, el filtrado de ruta inversa esté habilitado y las cookies TCP SYN estén habilitadas |
| 11. | TCP Wrapper | Asegurarse de que los permisos en /etc/hosts.allow y /etc/hosts.deny estén configurados |
| 12. | Protocolos de Red Poco Comunes | Asegurarse de que DCCP y SCTP estén deshabilitados |
| 13. | Configuraciones de Arranque Seguro | Asegurarse de que los permisos de configuración del cargador de arranque estén configurados y que se requiera autenticación para el modo de un solo usuario |
| 14. | Control de Acceso Obligatorio | Verifica el estado y asegura que SETroubleshoot no esté instalado si está habilitado |
Historial de versiones
| Fecha | Versión | Descripción | Cambiado por |
|---|---|---|---|
| Feb 27 | v0.0.1 | Para endurecer el sistema operativo (ubuntu) basado en los importantes estándares CIS | Anjali Singh |
| Ago 08 | v0.0.2 | Se agregó soporte para Centos | Anjali Singh |
Características Destacadas
- Este rol configurará el sistema operativo basado en los estándares esenciales de CIS.
Sistemas Operativos Soportados
- Ubuntu:bionic
- Centos:8
Dependencias
- Python debe estar presente en el servidor de prueba.
Variables del Rol
Hay dos tipos de variables: obligatorias y opcionales. Las variables obligatorias son aquellas que deben configurarse según el estándar CIS y las variables opcionales dependen del servicio que se esté utilizando. Se pueden habilitar o deshabilitar según los requisitos.
Variables Obligatorias
| Variables | Valores Predeterminados | Descripción |
|---|---|---|
| Permisos_Archivos_Sistema | host.conf, hostname, hosts, hosts.allow, hosts.deny, passwd, passwd-, shadow, shadow-, gshadow, gshadow-, group, group- | Archivos especiales cuyos permisos cambiarán. |
| paquetes_limpios_os | true | Los paquetes obsoletos se eliminan. |
| lista_paquetes_os | xinetd, inetd, ypserv, telnet-server, telnet-client, rsh-server, rsh-client, prelink, openldap-clients, openldap2-client, ldap-utils | Desactivar estos servicios si no son necesarios. |
| paquete_auditoria | auditd | Se utiliza para llevar un registro de todos los logs. |
Variables Opcionales
| Variables | Valores Opcionales | Descripción |
|---|---|---|
| nombre_servicios_os | avahi-daemon, dhcpd, slapd, named | Servicios de propósito especial que se pueden detener si no son necesarios |
| max_archivo_log_auditoria | 5 | Número de archivos de registro que se deben mantener |
| accion_max_archivo_log_auditoria | mantener_logs | Para guardar registros |
Inventario
Un inventario debería verse así:
[osconfig]
192.168.1.198 ansible_user=ubuntu
Ejemplo de Playbook
- Aquí hay un ejemplo de playbook:
---
- name: Auditoría de OS
hosts: osconfig
become: true
roles:
- role: osm_linux_armour
Cambios Propuestos en el Futuro
Se actualizará según los estándares CIS de 2020.
Referencias
Información del Autor
Instalar
ansible-galaxy install opstree_devops.linux_armourLicencia
Unknown
Descargas
334
Propietario