florianutz.Ubuntu1604-CIS

Aperçu Versions Perspectives

Ubuntu 16.04 CIS STIG

Statut de Construction Rôle Ansible

Configurez une machine Ubuntu 16.04 pour qu'elle soit conforme aux normes CIS. Les points de conformité de niveau 1 et 2 seront corrigés par défaut.

Ce rôle apportera des modifications au système qui pourraient perturber son fonctionnement. Ce n'est pas un outil d'audit, mais plutôt un outil de correction à utiliser après qu'un audit a été réalisé.

ÉTAPE D'INSTALLATION IMPORTANTE

Si vous souhaitez installer ceci via la commande ansible-galaxy, vous devrez l'exécuter comme ceci :

ansible-galaxy install -p roles -r requirements.yml

Avec ce qui est dans le fichier requirements.yml :

- src: https://github.com/florianutz/Ubuntu1604-CIS.git

Basé sur CIS Ubuntu Benchmark v1.1.0 - 28-12-2017 .

Ce dépôt est issu du travail réalisé par MindPointGroup

Exigences

Vous devez lire attentivement les tâches pour vous assurer que ces modifications ne perturberont pas vos systèmes avant d'exécuter ce playbook.

Variables du Rôle

De nombreuses variables de rôle sont définies dans defaults/main.yml. Cette liste montre les plus importantes.

ubuntu1604cis_notauto : Exécutez les contrôles CIS que nous ne souhaitons généralement PAS automatiser en raison de la forte probabilité de perturber le système (par défaut : faux)

ubuntu1604cis_section1 : CIS - Paramètres généraux (Section 1) (par défaut : vrai)

ubuntu1604cis_section2 : CIS - Paramètres des services (Section 2) (par défaut : vrai)

ubuntu1604cis_section3 : CIS - Paramètres réseau (Section 3) (par défaut : vrai)

ubuntu1604cis_section4 : CIS - Paramètres de journalisation et d'audit (Section 4) (par défaut : vrai)

ubuntu1604cis_section5 : CIS - Paramètres d'accès, d'authentification et d'autorisation (Section 5) (par défaut : vrai)

ubuntu1604cis_section6 : CIS - Paramètres de maintenance du système (Section 6) (par défaut : vrai)

Désactiver toutes les fonctions selinux

ubuntu1604cis_selinux_disable: false

Variables de service :
Celles-ci contrôlent si un serveur peut ou non continuer à exécuter ces services
ubuntu1604cis_avahi_server: false  
ubuntu1604cis_cups_server: false  
ubuntu1604cis_dhcp_server: false  
ubuntu1604cis_ldap_server: false  
ubuntu1604cis_telnet_server: false  
ubuntu1604cis_nfs_server: false  
ubuntu1604cis_rpc_server: false  
ubuntu1604cis_ntalk_server: false  
ubuntu1604cis_rsyncd_server: false  
ubuntu1604cis_tftp_server: false  
ubuntu1604cis_rsh_server: false  
ubuntu1604cis_nis_server: false  
ubuntu1604cis_snmp_server: false  
ubuntu1604cis_squid_server: false  
ubuntu1604cis_smb_server: false  
ubuntu1604cis_dovecot_server: false  
ubuntu1604cis_httpd_server: false  
ubuntu1604cis_vsftpd_server: false  
ubuntu1604cis_named_server: false  
ubuntu1604cis_bind: false  
ubuntu1604cis_vsftpd: false  
ubuntu1604cis_httpd: false  
ubuntu1604cis_dovecot: false  
ubuntu1604cis_samba: false  
ubuntu1604cis_squid: false  
ubuntu1604cis_net_snmp: false
Désigner le serveur comme serveur de messagerie

ubuntu1604cis_is_mail_server: false

Paramètres réseau du système (hôte uniquement OU hôte et routeur)

ubuntu1604cis_is_router: false

IPv6 requis

ubuntu1604cis_ipv6_required: true

AIDE

ubuntu1604cis_config_aide: true

Paramètres cron AIDE
ubuntu1604cis_aide_cron:
  cron_user: root
  cron_file: /etc/crontab
  aide_job: '/usr/sbin/aide --check'
  aide_minute: 0
  aide_hour: 5
  aide_day: '*'
  aide_month: '*'
  aide_weekday: '*'
Politique SELinux

ubuntu1604cis_selinux_pol: targeted

Définir sur 'true' si X Windows est nécessaire dans votre environnement

ubuntu1604cis_xwindows_required: no

Exigences des applications cliente
ubuntu1604cis_openldap_clients_required: false
ubuntu1604cis_telnet_required: false
ubuntu1604cis_talk_required: false  
ubuntu1604cis_rsh_required: false
ubuntu1604cis_ypbind_required: false
Synchronisation du temps
ubuntu1604cis_time_synchronization: chrony
ubuntu1604cis_time_Synchronization: ntp

ubuntu1604cis_time_synchronization_servers:
    - 0.pool.ntp.org
    - 1.pool.ntp.org
    - 2.pool.ntp.org
    - 3.pool.ntp.org
3.4.2 | PATCH | Assurez-vous que /etc/hosts.allow est configuré
ubuntu1604cis_host_allow:
  - "10.0.0.0/255.0.0.0"  
  - "172.16.0.0/255.240.0.0"  
  - "192.168.0.0/255.255.0.0"    

ubuntu1604cis_firewall: firewalld
ubuntu1604cis_firewall: iptables

Dépendances

Ansible > 2.2

Exemple de Playbook

- name: Sécuriser le serveur
  hosts: servers
  become: yes

  roles:
    - Ubuntu1604-CIS

Tags

De nombreux tags sont disponibles pour un contrôle précis de ce qui est et n'est pas modifié.

Quelques exemples d'utilisation des tags :

    # Auditer et patcher le site
    ansible-playbook site.yml --tags="patch"

Licence

MIT

À propos du projet

Ansible role to apply Ubuntu 16.04 CIS Baseline

role cis hardening security system
Installer
ansible-galaxy install florianutz.Ubuntu1604-CIS
GitHub référentiel
89 étoiles
49 forks
13 problèmes ouverts
Licence
mit
Téléchargements
17.6k
Propriétaire