florianutz.Ubuntu1604-CIS

Descripción general Versiones Perspectivas

Ubuntu 16.04 CIS STIG

Configura una máquina Ubuntu 16.04 para que cumpla con los estándares CIS. Por defecto, se corregirán los hallazgos de Nivel 1 y 2.

Este rol realizará cambios en el sistema que podrían causar problemas. No es una herramienta de auditoría, sino una herramienta de corrección que se debe usar después de realizar una auditoría.

PASO IMPORTANTE DE INSTALACIÓN

Si deseas instalar esto usando el comando ansible-galaxy, debes ejecutarlo de esta manera:

ansible-galaxy install -p roles -r requirements.yml

Con esto en el archivo requirements.yml:

- src: https://github.com/florianutz/Ubuntu1604-CIS.git

Basado en CIS Ubuntu Benchmark v1.1.0 - 28-12-2017.

Este repositorio se originó a partir del trabajo realizado por MindPointGroup

Requisitos

Debes leer atentamente las tareas para asegurarte de que estos cambios no causarán problemas en tus sistemas antes de ejecutar este playbook.

Variables del Rol

Se definen muchas variables del rol en defaults/main.yml. Esta lista muestra las más importantes.

ubuntu1604cis_notauto: Ejecutar verificaciones CIS que típicamente NO queremos automatizar debido a la alta probabilidad de causar problemas en el sistema (Predeterminado: falso)

ubuntu1604cis_section1: CIS - Configuraciones Generales (Sección 1) (Predeterminado: verdadero)

ubuntu1604cis_section2: CIS - Configuraciones de Servicios (Sección 2) (Predeterminado: verdadero)

ubuntu1604cis_section3: CIS - Configuraciones de Red (Sección 3) (Predeterminado: verdadero)

ubuntu1604cis_section4: CIS - Configuraciones de Registro y Auditoría (Sección 4) (Predeterminado: verdadero)

ubuntu1604cis_section5: CIS - Configuraciones de Acceso, Autenticación y Autorización (Sección 5) (Predeterminado: verdadero)

ubuntu1604cis_section6: CIS - Configuraciones de Mantenimiento del Sistema (Sección 6) (Predeterminado: verdadero)

Desactivar todas las funciones de selinux

ubuntu1604cis_selinux_disable: false

Variables de Servicio:

Estas controlan si un servidor debería permitir o no seguir ejecutando estos servicios

ubuntu1604cis_avahi_server: false  
ubuntu1604cis_cups_server: false  
ubuntu1604cis_dhcp_server: false  
ubuntu1604cis_ldap_server: false  
ubuntu1604cis_telnet_server: false  
ubuntu1604cis_nfs_server: false  
ubuntu1604cis_rpc_server: false  
ubuntu1604cis_ntalk_server: false  
ubuntu1604cis_rsyncd_server: false  
ubuntu1604cis_tftp_server: false  
ubuntu1604cis_rsh_server: false  
ubuntu1604cis_nis_server: false  
ubuntu1604cis_snmp_server: false  
ubuntu1604cis_squid_server: false  
ubuntu1604cis_smb_server: false  
ubuntu1604cis_dovecot_server: false  
ubuntu1604cis_httpd_server: false  
ubuntu1604cis_vsftpd_server: false  
ubuntu1604cis_named_server: false  
ubuntu1604cis_bind: false  
ubuntu1604cis_vsftpd: false  
ubuntu1604cis_httpd: false  
ubuntu1604cis_dovecot: false  
ubuntu1604cis_samba: false  
ubuntu1604cis_squid: false  
ubuntu1604cis_net_snmp: false

Designar el servidor como servidor de correo

ubuntu1604cis_is_mail_server: false

Parámetros de red del sistema (solo host O host y router)

ubuntu1604cis_is_router: false

IPv6 requerido

ubuntu1604cis_ipv6_required: true

AIDE

ubuntu1604cis_config_aide: true

Configuraciones de cron para AIDE

ubuntu1604cis_aide_cron:
  cron_user: root
  cron_file: /etc/crontab
  aide_job: '/usr/sbin/aide --check'
  aide_minute: 0
  aide_hour: 5
  aide_day: '*'
  aide_month: '*'
  aide_weekday: '*'

Política de SELinux

ubuntu1604cis_selinux_pol: targeted

Establecer en 'true' si necesitas X Windows en tu entorno

ubuntu1604cis_xwindows_required: no

Requisitos de aplicaciones cliente

ubuntu1604cis_openldap_clients_required: false
ubuntu1604cis_telnet_required: false
ubuntu1604cis_talk_required: false  
ubuntu1604cis_rsh_required: false
ubuntu1604cis_ypbind_required: false

Sincronización de Tiempo

ubuntu1604cis_time_synchronization: chrony
ubuntu1604cis_time_Synchronization: ntp

ubuntu1604cis_time_synchronization_servers:
    - 0.pool.ntp.org
    - 1.pool.ntp.org
    - 2.pool.ntp.org
    - 3.pool.ntp.org

3.4.2 | PARCHE | Asegurarse de que /etc/hosts.allow esté configurado

ubuntu1604cis_host_allow:
  - "10.0.0.0/255.0.0.0"  
  - "172.16.0.0/255.240.0.0"  
  - "192.168.0.0/255.255.0.0"

ubuntu1604cis_firewall: firewalld
ubuntu1604cis_firewall: iptables

Dependencias

Ansible > 2.2

Ejemplo de Playbook

- nombre: Asegurar Servidor
  hosts: servers
  become: yes

  roles:
    - Ubuntu1604-CIS

Etiquetas

Hay muchas etiquetas disponibles para un control preciso de lo que se cambia y lo que no.

Algunos ejemplos de uso de etiquetas:

    # Auditoría y parcheo del sitio
    ansible-playbook site.yml --tags="patch"

Licencia

MIT

Acerca del proyecto

Ansible role to apply Ubuntu 16.04 CIS Baseline

role cis hardening security system

Instalar

ansible-galaxy install florianutz.Ubuntu1604-CIS

GitHub repositorio

89 estrellas

49 bifurcaciones

13 problemas abiertos

Licencia

mit

Descargas

17.6k

Propietario

Florian Utz