scathatheworm.security-settings
ansible-security-settings
Rol de Ansible para aplicar configuraciones de seguridad relacionadas con la conformidad empresarial en sistemas operativos de nivel empresarial.
Descripción
Este rol configura varias configuraciones de seguridad, incluyendo inicio de sesión, gestión de contraseñas, ssh, pam, configuración de selinux y otros. Está diseñado para definiciones de conformidad empresarial.
Configura:
- Módulos pam tally y faillock para bloqueo automático de cuentas en fallos de inicio de sesión.
- Historial de contraseñas.
- Complejidad de contraseñas.
- Configuración de puerto ssh, inicio de sesión root, banner, cifrado, y reenvío de puertos.
- Estado de selinux y firewall.
- Tiempo de espera de la shell.
- Desactivación de "sendbreak" físico y "ctrl-alt-del".
- Configuración de auditd de Linux.
- Estado del firewall.
- Configuración de Magic SysRq.
Variables de envejecimiento de contraseñas:
| Nombre | Valor Predeterminado | Descripción |
|---|---|---|
os_auth_pw_max_age |
60 | Días máximos que una contraseña es válida antes de requerir cambio. |
os_auth_pw_min_age |
10 | Días mínimos que una contraseña debe tener antes de poder ser cambiada. |
os_auth_pw_warn_age |
7 | Días antes de la expiración de la contraseña en que se advertirá al usuario. |
passhistory |
6 | Cantidad de contraseñas a recordar para evitar su reutilización. |
Variables de complejidad de contraseñas:
| Nombre | Valor Predeterminado | Descripción |
|---|---|---|
pwquality_minlen |
8 | Longitud mínima de la contraseña en caracteres. |
pwquality_maxrepeat |
3 | Cantidad máxima de caracteres iguales repetidos en la contraseña. |
pwquality_lcredit |
-1 | Cantidad de caracteres en minúscula que deben estar presentes en la contraseña. |
pwquality_ucredit |
-1 | Cantidad de caracteres en mayúscula que deben estar presentes en la contraseña. |
pwquality_dcredit |
-1 | Cantidad de dígitos que deben estar presentes en la contraseña. |
pwquality_ocredit |
-1 | Cantidad de caracteres especiales que deben estar presentes en la contraseña. |
solaris_dictionary_minwordlength |
5 | Longitud mínima de palabras en el diccionario de Solaris. |
Variables de inactividad de cuentas e inicio de sesión fallido:
| Nombre | Valor Predeterminado | Descripción |
|---|---|---|
fail_deny |
5 | Cantidad de veces que se puede intentar una contraseña fallida antes de bloquear la cuenta. |
fail_unlock |
0 | Segundos transcurridos antes de que la cuenta se desbloquee tras intentos fallidos de inicio de sesión. |
inactive_lock |
0 | Número de días que una cuenta puede estar inactiva antes de ser bloqueada. |
shell_timeout |
900 | Tiempo de espera de la shell en segundos, pon 0 para desactivar. |
Variables de servicios y configuraciones del sistema:
| Nombre | Valor Predeterminado | Descripción |
|---|---|---|
selinux_state |
permisivo | Valor de configuración de selinux. |
firewall_check |
falso | Configura si el rol debe verificar la configuración del firewall. |
firewall_state |
detenido | Estado deseado del firewall. |
firewall_enable |
'no' | Estado de configuración del firewall deseado. |
disable_ctrlaltdel |
Verdadero | Si desactivar o no Control-Alt-Del y sendbreak físico en Solaris. |
solaris_disable_services |
falso | Desactivar servicios inseguros de Solaris. |
magic_sysrq |
1 | Valor de la configuración kernel.sysrq en Linux, como es aceptado por el kernel de Linux. |
Variables de configuración SSH:
| Nombre | Valor Predeterminado | Descripción |
|---|---|---|
sshrootlogin |
'no' | Permitir inicio de sesión root por ssh, mantener comillas simples para evitar evaluación booleana. |
sshportforwarding |
'no' | Opciones configuradas para el reenvío de puertos. |
sshmainport |
22 | Puerto principal de ssh. |
sshextraport |
0 | Puerto secundario de ssh, establecer en 0 para desactivar un puerto extra. |
setloginbanner |
verdadero | Usar un banner de inicio de sesión en ssh. |
sshd_solaris_restrict_ipv4 |
Verdadero | Restringir conexiones ssh a ipv4 en solaris. |
ssh_enforce_ciphers |
Verdadero | Hacer cumplir cifrados y MACs fuertes en ssh. |
sha1_mac_enabled |
Falso | Desactivar el uso de HMAC SHA1 en ssh. |
md5_mac_enabled |
Falso | Desactivar el uso de HMAC MD5 en ssh. |
truncated_mac_enabled |
Falso | Desactivar el uso de HMACs de 96 bits truncados en ssh. |
cbc_ciphers_enabled |
Falso | Desactivar el uso de cifrados en modo de encadenamiento de bloques en ssh. |
sweet32_ciphers_enabled |
Falso | Habilitar el uso de cifrados en modo de encadenamiento de bloques de 64 bits en ssh. |
rc4_ciphers_enabled |
Falso | Habilitar el uso de cifrados arcfour en ssh. |
nist_curves_enabled |
falso | Desactivar la criptografía de curvas KEX NIST. |
logjam_sha1_enabled |
falso | Desactivar algoritmos KEX SHA1. |
Variables de configuración de auditoría:
| Nombre | Valor Predeterminado | Descripción |
|---|---|---|
auditd_configure: |
verdadero | Habilitar gestión de configuración de auditd. |
auditd_max_log_filesize |
25 | Tamaño máximo de archivo de registro de auditoría en MB. |
auditd_num_logs |
8 | Número máximo de registros de auditoría a mantener. |
security_audit_datetime_changes |
verdadero | auditd rastreará todas las modificaciones de fecha u hora. |
security_audit_account_modifications |
verdadero | auditd rastreará todas las modificaciones de cuentas. |
security_audit_network_changes |
verdadero | auditd rastreará todas las modificaciones de configuración de red. |
security_audit_selinux_changes |
verdadero | auditd rastreará cambios en las configuraciones de selinux. |
security_audit_permission_changes |
falso | auditd rastreará todos los cambios de permisos de archivos. |
security_audit_fileaccess_failedattempts |
falso | auditd rastreará todos los intentos no autorizados de acceso a archivos. |
security_audit_filesystem_mounts |
verdadero | auditd rastreará todos los montajes/desmontajes de sistemas de archivos. |
security_audit_deletions |
falso | auditd rastreará todas las eliminaciones de archivos. |
security_audit_sudoers |
verdadero | auditd rastreará todas las modificaciones en las reglas de sudoers. |
security_audit_kernel_modules |
falso | auditd rastreará todas las operaciones de módulos y configuraciones de sysctl. |
security_audit_logon |
verdadero | auditd rastreará todas las sesiones de inicio/cierre de sesión. |
security_audit_elevated_privilege_commands |
verdadero | auditd rastreará todos los comandos con privilegios elevados. |
security_audit_all_commands |
falso | auditd rastreará todos los comandos. |
security_audit_log_integrity |
falso | auditd monitorizará la integridad de los registros y la configuración de registros. |
security_audit_configuration_immutable |
falso | auditd hará que sus reglas sean inmutables, se necesitará un reinicio para realizar cambios. |
security_audit_custom_rules |
vacío | Esta es una variable de múltiples líneas, que si se define, debe contener las reglas de auditoría completas que se agregarán al archivo de configuración. |
Acerca del proyecto
Ansible Role for enforcing security settings related to enterprise compliance on enterprise grade OS.
Instalar
ansible-galaxy install scathatheworm.security-settingsLicencia
gpl-2.0
Descargas
118
Propietario
IT stuff.