opstree_devops.linux_armour

Rôle Ansible : osm_linux_armour

Ce rôle Ansible s'occupe de l'audit d'Ubuntu selon les recommandations du CIS.

Services Contrôles effectués
1. Services à usage spécial S'assurer qu'Avahi, DHCP, et le serveur LDAP ne sont pas activés
2. Client de services S'assurer que rsh, telnet et le client LDAP ne sont pas installés
3. Services inetd S'assurer que le serveur telnet, les services jetés, et le serveur rsh ne sont pas installés
4. Journalisation et audit auditd est installé et activé, taille de stockage des journaux d'audit, le système est désactivé lorsqu les journaux d'audit sont pleins, les journaux d'audit ne sont pas supprimés automatiquement, les événements de connexion et de déconnexion sont collectés, les informations de début de session sont collectées
5. Configuration du système de fichiers Désactiver les systèmes de fichiers inutilisés, S'assurer que le bit collant est défini sur tous les répertoires accessibles en écriture par tous, Désactiver l'automontage.
6. Permissions des fichiers système S'assurer que passwd, passwd-, group, group-, shadow, shadow-, gshadow, gshadow- sont configurés
7. Vérification de l'intégrité des fichiers S'assurer que l'intégrité des fichiers est régulièrement vérifiée
8. Renforcement des processus supplémentaires S'assurer que les vidages de mémoire sont restreints et que prelink est désactivé
9. Configuration réseau hôte S'assurer que le transfert IP et l'envoi de redirections de paquets sont désactivés et que les paquets suspects sont enregistrés
10. Configuration réseau hôte et routeur S'assurer que les réponses ICMP invalides sont ignorées, que le filtrage de chemin inverse est activé et que TCP SYN Cookies est activé
11. Wrapper TCP S'assurer que les permissions sur /etc/hosts.allow et /etc/hosts.deny sont configurées
12. Protocoles réseau peu courants S'assurer que DCCP et SCTP sont désactivés
13. Paramètres de démarrage sécurisé S'assurer que les permissions sur la configuration du bootstrap sont configurées et que l'authentification est requise pour le mode utilisateur unique
14. Contrôle d'accès obligatoire Vérifie l'état et s'assure que SETroubleshoot n'est pas installé s'il est activé

Historique des versions

Date Version Description Modifié par
27 févr. v0.0.1 Renforcer l'OS (ubuntu) selon les critères CIS Anjali Singh
08 août v0.0.2 Ajout du support pour CentOS Anjali Singh

Caractéristiques principales

  • Ce rôle configurera l'OS en fonction des critères essentiels du CIS.

Systèmes d'exploitation pris en charge

  • Ubuntu:bionic
  • CentOS:8

Dépendances

  • Python doit être présent sur le serveur de test.

Variables de rôle

Il existe deux types de variables, à savoir Obligatoires et Optionnelles. Les variables obligatoires doivent être configurées selon les critères CIS, tandis que les variables optionnelles dépendent des services que l'on utilise. Elles peuvent être activées ou désactivées en fonction des besoins.

Variables obligatoires

Variables Valeurs par défaut Description
System_File_Permissions host.conf, hostname, hosts, hosts.allow, hosts.deny, passwd, passwd-, shadow, shadow-, gshadow, gshadow-, group, group- Fichiers spéciaux dont les permissions vont changer.
os_packages_clean true Les paquets obsolètes sont supprimés
os_packages_list xinetd, inetd, ypserv, telnet-server, telnet-client, rsh-server, rsh-client, prelink, openldap-clients, openldap2-client, ldap-utils Désactiver ces services si non nécessaires
audit_package auditd Utilisé pour enregistrer chaque journal

Variables optionnelles

Variables Valeurs optionnelles Description
os_services_name avahi-daemon, dhcpd, slapd, named Services à usage spécial pouvant être arrêtés si non nécessaires
audit_max_log_file 5 Nombre de fichiers journaux à conserver
os_audit_max_log_file_action keep_logs Pour conserver les journaux

Inventaire

Un inventaire devrait ressembler à ceci :

[osconfig]                 
192.168.1.198    ansible_user=ubuntu    

Exemple de Playbook

  • Voici un exemple de playbook :-
---
- name: Audit de l'OS
  hosts: osconfig
  become: true
  roles:
    - role: osm_linux_armour

Changements proposés pour l'avenir

Seront mis à jour selon les critères CIS de 2020.

Références

Informations sur l'auteur

À propos du projet

CIS benchmark for Linux

Installer
ansible-galaxy install opstree_devops.linux_armour
Licence
Unknown
Téléchargements
334
Propriétaire