scathatheworm.security-settings

Statut de construction Ansible Galaxy

ansible-security-settings

Rôle Ansible pour appliquer des paramètres de sécurité liés à la conformité des entreprises sur des systèmes d'exploitation de niveau professionnel.

Description

Ce rôle configure plusieurs paramètres de sécurité liés à la connexion, à la gestion des mots de passe, à ssh, à pam, à la configuration de selinux, et d'autres aspects. Il est conçu pour répondre aux définitions de conformité des entreprises.

Configure :

  • Modules pam tally et faillock pour verrouillage automatique des comptes après des échecs de connexion
  • Historique des mots de passe
  • Complexité des mots de passe
  • Paramètres de port ssh, connexion root, bannière, chiffre, redirection de port
  • État de selinux et du pare-feu
  • Délai d'inactivité du shell
  • Désactivation de l'envoi physique de sendbreak et de ctrl-alt-del
  • Configuration de Linux auditd
  • État du pare-feu
  • Configuration de Magic SysRq

Variables de vieillissement des mots de passe :

Nom Valeur par défaut Description
os_auth_pw_max_age 60 Max jours qu'un mot de passe est valide avant de nécessiter un changement
os_auth_pw_min_age 10 Min jours qu'un mot de passe doit avoir avant de pouvoir être changé
os_auth_pw_warn_age 7 Jours avant l'expiration du mot de passe où un avertissement sera donné
passhistory 6 Nombre de mots de passe à mémoriser pour éviter la réutilisation

Variables de complexité des mots de passe :

Nom Valeur par défaut Description
pwquality_minlen 8 Longueur minimale d'un mot de passe en caractères
pwquality_maxrepeat 3 Nombre maximal de caractères identiques répétés dans le mot de passe
pwquality_lcredit -1 Montant de caractères minuscules devant être présents dans le mot de passe, pour 2 mettre '-2', et ainsi de suite
pwquality_ucredit -1 Montant de caractères majuscules devant être présents dans le mot de passe, pour 2 mettre '-2', et ainsi de suite
pwquality_dcredit -1 Chiffres devant être présents dans le mot de passe, pour 2 mettre '-2', et ainsi de suite
pwquality_ocredit -1 Caractères spéciaux devant être présents dans un mot de passe, pour 2 mettre '-2', et ainsi de suite
solaris_dictionary_minwordlength 5 Longueur minimale des mots dans le dictionnaire Solaris

Variables d'inactivité du compte et d'échecs de connexion :

Nom Valeur par défaut Description
fail_deny 5 Nombre de tentatives de mot de passe échouées avant de verrouiller le compte
fail_unlock 0 Secondes écoulées avant que le compte soit déverrouillé après des échecs de connexion, 0 désactive le déverrouillage automatique et les mots de passe resteront bloqués
inactive_lock 0 Nombre de jours qu'un compte peut rester inactif avant d'être verrouillé, une valeur de 0 désactive le verrouillage d'inactivité
shell_timeout 900 Délai d'inactivité souhaité du shell en secondes, mettre 0 pour désactiver

Variables des services et paramètres système :

Nom Valeur par défaut Description
selinux_state permissive Valeur de configuration selinux
firewall_check false Configure si le rôle doit vérifier la configuration du pare-feu
firewall_state stopped État souhaité du pare-feu
firewall_enable 'no' État de configuration souhaité du pare-feu
disable_ctrlaltdel True Indique si Control-Alt-Del et l'envoi physique de sendbreak doivent être désactivés dans Solaris
solaris_disable_services false Désactive les services Solaris non sécurisés
magic_sysrq 1 Valeur de l'option kernel.sysrq dans Linux, comme acceptée par le noyau Linux

Variables de configuration SSH :

Nom Valeur par défaut Description
sshrootlogin 'no' Autoriser la connexion root via ssh, garder les apostrophes pour éviter l'évaluation booléenne
sshportforwarding 'no' Options configurées pour la redirection de port, valeurs comme dans le fichier de configuration : oui, non, distant, local
sshmainport 22 Port principal ssh
sshextraport 0 Port ssh secondaire, mettre 0 pour désactiver un port supplémentaire
setloginbanner true Utiliser une bannière de connexion dans ssh
sshd_solaris_restrict_ipv4 True Restreindre les connexions ssh à ipv4 dans Solaris comme solution aux problèmes d'AFFICHAGE
ssh_enforce_ciphers True Appliquer des chiffres et des MACs forts dans ssh, mettre false pour désactiver et autoriser tous les MACs et chiffres pris en charge
sha1_mac_enabled False Désactiver l'utilisation des HMACs sha1 dans ssh, des vecteurs d'attaque théoriques existent
md5_mac_enabled False Désactiver l'utilisation des HMACs md5 dans ssh, des vulnérabilités et des vecteurs d'attaque connus existent
truncated_mac_enabled False Désactiver l'utilisation des HMACs md5 ou sha1 tronqués de 96 bits dans ssh, sous-ensembles plus courts de md5 et sha1
cbc_ciphers_enabled False Désactiver l'utilisation des chiffres en mode de Chiffrement par Bloc en Chaîne dans ssh, considérés comme vulnérables à plusieurs attaques de Padding sur Oracle
sweet32_ciphers_enabled False Activer l'utilisation de chiffres en mode de Chiffrement par Bloc en Chaîne de 64 bits dans ssh, considérés comme vulnérables à l'attaque SWEET32
rc4_ciphers_enabled False Activer l'utilisation des chiffres arcfour dans ssh, considérés comme vulnérables avec des attaques pratiques existantes
nist_curves_enabled false Désactiver la cryptographie par courbes KEX NIST car elles sont faibles sur plusieurs aspects
logjam_sha1_enabled false Désactiver les algorithmes KEX SHA1, vulnérables aux attaques logjam

Variables de configuration d'audit :

Nom Valeur par défaut Description
auditd_configure: true Activer la gestion de la configuration auditd
auditd_max_log_filesize 25 Taille maximale des fichiers journaux d'audit en Mo
auditd_num_logs 8 Nombre maximal de journaux d'audit à conserver
security_audit_datetime_changes true auditd suivra toutes les modifications de date ou d'heure
security_audit_account_modifications true auditd suivra toutes les modifications de compte
security_audit_network_changes true auditd suivra toutes les modifications de configuration réseau
security_audit_selinux_changes true auditd suivra les changements de configurations de selinux
security_audit_permission_changes false auditd suivra tous les changements des permissions de fichiers
security_audit_fileaccess_failedattempts false auditd suivra toutes les tentatives d'accès non autorisé aux fichiers
security_audit_filesystem_mounts true auditd suivra tous les montages/démontages de systèmes de fichiers
security_audit_deletions false auditd suivra toutes les suppressions de fichiers
security_audit_sudoers true auditd suivra toutes les modifications des règles sudoers
security_audit_kernel_modules false auditd suivra toutes les opérations de modules ainsi que les configurations sysctl
security_audit_logon true auditd suivra toutes les connexions/déconnexions/sessions
security_audit_elevated_privilege_commands true auditd suivra toutes les commandes avec privilèges élevés
security_audit_all_commands false auditd suivra TOUTES les commandes
security_audit_log_integrity false auditd surveillera l'intégrité des journaux et de la configuration de journalisation
security_audit_configuration_immutable false auditd rendra ses règles immuables, un redémarrage sera nécessaire pour apporter des modifications
security_audit_custom_rules vide Ceci est une variable multi-ligne, qui si définie, doit contenir des règles d'audit complètes qui seront ajoutées au fichier de configuration
À propos du projet

Ansible Role for enforcing security settings related to enterprise compliance on enterprise grade OS.

Installer
ansible-galaxy install scathatheworm.security-settings
Licence
gpl-2.0
Téléchargements
118
Propriétaire
IT stuff.