opstree_devops.linux_armour
Rôle Ansible : osm_linux_armour
Ce rôle Ansible s'occupe de l'audit d'Ubuntu selon les recommandations du CIS.
| N° | Services | Contrôles effectués |
|---|---|---|
| 1. | Services à usage spécial | S'assurer qu'Avahi, DHCP, et le serveur LDAP ne sont pas activés |
| 2. | Client de services | S'assurer que rsh, telnet et le client LDAP ne sont pas installés |
| 3. | Services inetd | S'assurer que le serveur telnet, les services jetés, et le serveur rsh ne sont pas installés |
| 4. | Journalisation et audit | auditd est installé et activé, taille de stockage des journaux d'audit, le système est désactivé lorsqu les journaux d'audit sont pleins, les journaux d'audit ne sont pas supprimés automatiquement, les événements de connexion et de déconnexion sont collectés, les informations de début de session sont collectées |
| 5. | Configuration du système de fichiers | Désactiver les systèmes de fichiers inutilisés, S'assurer que le bit collant est défini sur tous les répertoires accessibles en écriture par tous, Désactiver l'automontage. |
| 6. | Permissions des fichiers système | S'assurer que passwd, passwd-, group, group-, shadow, shadow-, gshadow, gshadow- sont configurés |
| 7. | Vérification de l'intégrité des fichiers | S'assurer que l'intégrité des fichiers est régulièrement vérifiée |
| 8. | Renforcement des processus supplémentaires | S'assurer que les vidages de mémoire sont restreints et que prelink est désactivé |
| 9. | Configuration réseau hôte | S'assurer que le transfert IP et l'envoi de redirections de paquets sont désactivés et que les paquets suspects sont enregistrés |
| 10. | Configuration réseau hôte et routeur | S'assurer que les réponses ICMP invalides sont ignorées, que le filtrage de chemin inverse est activé et que TCP SYN Cookies est activé |
| 11. | Wrapper TCP | S'assurer que les permissions sur /etc/hosts.allow et /etc/hosts.deny sont configurées |
| 12. | Protocoles réseau peu courants | S'assurer que DCCP et SCTP sont désactivés |
| 13. | Paramètres de démarrage sécurisé | S'assurer que les permissions sur la configuration du bootstrap sont configurées et que l'authentification est requise pour le mode utilisateur unique |
| 14. | Contrôle d'accès obligatoire | Vérifie l'état et s'assure que SETroubleshoot n'est pas installé s'il est activé |
Historique des versions
| Date | Version | Description | Modifié par |
|---|---|---|---|
| 27 févr. | v0.0.1 | Renforcer l'OS (ubuntu) selon les critères CIS | Anjali Singh |
| 08 août | v0.0.2 | Ajout du support pour CentOS | Anjali Singh |
Caractéristiques principales
- Ce rôle configurera l'OS en fonction des critères essentiels du CIS.
Systèmes d'exploitation pris en charge
- Ubuntu:bionic
- CentOS:8
Dépendances
- Python doit être présent sur le serveur de test.
Variables de rôle
Il existe deux types de variables, à savoir Obligatoires et Optionnelles. Les variables obligatoires doivent être configurées selon les critères CIS, tandis que les variables optionnelles dépendent des services que l'on utilise. Elles peuvent être activées ou désactivées en fonction des besoins.
Variables obligatoires
| Variables | Valeurs par défaut | Description |
|---|---|---|
| System_File_Permissions | host.conf, hostname, hosts, hosts.allow, hosts.deny, passwd, passwd-, shadow, shadow-, gshadow, gshadow-, group, group- | Fichiers spéciaux dont les permissions vont changer. |
| os_packages_clean | true | Les paquets obsolètes sont supprimés |
| os_packages_list | xinetd, inetd, ypserv, telnet-server, telnet-client, rsh-server, rsh-client, prelink, openldap-clients, openldap2-client, ldap-utils | Désactiver ces services si non nécessaires |
| audit_package | auditd | Utilisé pour enregistrer chaque journal |
Variables optionnelles
| Variables | Valeurs optionnelles | Description |
|---|---|---|
| os_services_name | avahi-daemon, dhcpd, slapd, named | Services à usage spécial pouvant être arrêtés si non nécessaires |
| audit_max_log_file | 5 | Nombre de fichiers journaux à conserver |
| os_audit_max_log_file_action | keep_logs | Pour conserver les journaux |
Inventaire
Un inventaire devrait ressembler à ceci :
[osconfig]
192.168.1.198 ansible_user=ubuntu
Exemple de Playbook
- Voici un exemple de playbook :-
---
- name: Audit de l'OS
hosts: osconfig
become: true
roles:
- role: osm_linux_armour
Changements proposés pour l'avenir
Seront mis à jour selon les critères CIS de 2020.
Références
Informations sur l'auteur
Installer
ansible-galaxy install opstree_devops.linux_armourLicence
Unknown
Téléchargements
334
Propriétaire