scathatheworm.security-settings
ansible-security-settings
Rôle Ansible pour appliquer des paramètres de sécurité liés à la conformité des entreprises sur des systèmes d'exploitation de niveau professionnel.
Description
Ce rôle configure plusieurs paramètres de sécurité liés à la connexion, à la gestion des mots de passe, à ssh, à pam, à la configuration de selinux, et d'autres aspects. Il est conçu pour répondre aux définitions de conformité des entreprises.
Configure :
- Modules pam tally et faillock pour verrouillage automatique des comptes après des échecs de connexion
- Historique des mots de passe
- Complexité des mots de passe
- Paramètres de port ssh, connexion root, bannière, chiffre, redirection de port
- État de selinux et du pare-feu
- Délai d'inactivité du shell
- Désactivation de l'envoi physique de sendbreak et de ctrl-alt-del
- Configuration de Linux auditd
- État du pare-feu
- Configuration de Magic SysRq
Variables de vieillissement des mots de passe :
| Nom | Valeur par défaut | Description |
|---|---|---|
os_auth_pw_max_age |
60 | Max jours qu'un mot de passe est valide avant de nécessiter un changement |
os_auth_pw_min_age |
10 | Min jours qu'un mot de passe doit avoir avant de pouvoir être changé |
os_auth_pw_warn_age |
7 | Jours avant l'expiration du mot de passe où un avertissement sera donné |
passhistory |
6 | Nombre de mots de passe à mémoriser pour éviter la réutilisation |
Variables de complexité des mots de passe :
| Nom | Valeur par défaut | Description |
|---|---|---|
pwquality_minlen |
8 | Longueur minimale d'un mot de passe en caractères |
pwquality_maxrepeat |
3 | Nombre maximal de caractères identiques répétés dans le mot de passe |
pwquality_lcredit |
-1 | Montant de caractères minuscules devant être présents dans le mot de passe, pour 2 mettre '-2', et ainsi de suite |
pwquality_ucredit |
-1 | Montant de caractères majuscules devant être présents dans le mot de passe, pour 2 mettre '-2', et ainsi de suite |
pwquality_dcredit |
-1 | Chiffres devant être présents dans le mot de passe, pour 2 mettre '-2', et ainsi de suite |
pwquality_ocredit |
-1 | Caractères spéciaux devant être présents dans un mot de passe, pour 2 mettre '-2', et ainsi de suite |
solaris_dictionary_minwordlength |
5 | Longueur minimale des mots dans le dictionnaire Solaris |
Variables d'inactivité du compte et d'échecs de connexion :
| Nom | Valeur par défaut | Description |
|---|---|---|
fail_deny |
5 | Nombre de tentatives de mot de passe échouées avant de verrouiller le compte |
fail_unlock |
0 | Secondes écoulées avant que le compte soit déverrouillé après des échecs de connexion, 0 désactive le déverrouillage automatique et les mots de passe resteront bloqués |
inactive_lock |
0 | Nombre de jours qu'un compte peut rester inactif avant d'être verrouillé, une valeur de 0 désactive le verrouillage d'inactivité |
shell_timeout |
900 | Délai d'inactivité souhaité du shell en secondes, mettre 0 pour désactiver |
Variables des services et paramètres système :
| Nom | Valeur par défaut | Description |
|---|---|---|
selinux_state |
permissive | Valeur de configuration selinux |
firewall_check |
false | Configure si le rôle doit vérifier la configuration du pare-feu |
firewall_state |
stopped | État souhaité du pare-feu |
firewall_enable |
'no' | État de configuration souhaité du pare-feu |
disable_ctrlaltdel |
True | Indique si Control-Alt-Del et l'envoi physique de sendbreak doivent être désactivés dans Solaris |
solaris_disable_services |
false | Désactive les services Solaris non sécurisés |
magic_sysrq |
1 | Valeur de l'option kernel.sysrq dans Linux, comme acceptée par le noyau Linux |
Variables de configuration SSH :
| Nom | Valeur par défaut | Description |
|---|---|---|
sshrootlogin |
'no' | Autoriser la connexion root via ssh, garder les apostrophes pour éviter l'évaluation booléenne |
sshportforwarding |
'no' | Options configurées pour la redirection de port, valeurs comme dans le fichier de configuration : oui, non, distant, local |
sshmainport |
22 | Port principal ssh |
sshextraport |
0 | Port ssh secondaire, mettre 0 pour désactiver un port supplémentaire |
setloginbanner |
true | Utiliser une bannière de connexion dans ssh |
sshd_solaris_restrict_ipv4 |
True | Restreindre les connexions ssh à ipv4 dans Solaris comme solution aux problèmes d'AFFICHAGE |
ssh_enforce_ciphers |
True | Appliquer des chiffres et des MACs forts dans ssh, mettre false pour désactiver et autoriser tous les MACs et chiffres pris en charge |
sha1_mac_enabled |
False | Désactiver l'utilisation des HMACs sha1 dans ssh, des vecteurs d'attaque théoriques existent |
md5_mac_enabled |
False | Désactiver l'utilisation des HMACs md5 dans ssh, des vulnérabilités et des vecteurs d'attaque connus existent |
truncated_mac_enabled |
False | Désactiver l'utilisation des HMACs md5 ou sha1 tronqués de 96 bits dans ssh, sous-ensembles plus courts de md5 et sha1 |
cbc_ciphers_enabled |
False | Désactiver l'utilisation des chiffres en mode de Chiffrement par Bloc en Chaîne dans ssh, considérés comme vulnérables à plusieurs attaques de Padding sur Oracle |
sweet32_ciphers_enabled |
False | Activer l'utilisation de chiffres en mode de Chiffrement par Bloc en Chaîne de 64 bits dans ssh, considérés comme vulnérables à l'attaque SWEET32 |
rc4_ciphers_enabled |
False | Activer l'utilisation des chiffres arcfour dans ssh, considérés comme vulnérables avec des attaques pratiques existantes |
nist_curves_enabled |
false | Désactiver la cryptographie par courbes KEX NIST car elles sont faibles sur plusieurs aspects |
logjam_sha1_enabled |
false | Désactiver les algorithmes KEX SHA1, vulnérables aux attaques logjam |
Variables de configuration d'audit :
| Nom | Valeur par défaut | Description |
|---|---|---|
auditd_configure: |
true | Activer la gestion de la configuration auditd |
auditd_max_log_filesize |
25 | Taille maximale des fichiers journaux d'audit en Mo |
auditd_num_logs |
8 | Nombre maximal de journaux d'audit à conserver |
security_audit_datetime_changes |
true | auditd suivra toutes les modifications de date ou d'heure |
security_audit_account_modifications |
true | auditd suivra toutes les modifications de compte |
security_audit_network_changes |
true | auditd suivra toutes les modifications de configuration réseau |
security_audit_selinux_changes |
true | auditd suivra les changements de configurations de selinux |
security_audit_permission_changes |
false | auditd suivra tous les changements des permissions de fichiers |
security_audit_fileaccess_failedattempts |
false | auditd suivra toutes les tentatives d'accès non autorisé aux fichiers |
security_audit_filesystem_mounts |
true | auditd suivra tous les montages/démontages de systèmes de fichiers |
security_audit_deletions |
false | auditd suivra toutes les suppressions de fichiers |
security_audit_sudoers |
true | auditd suivra toutes les modifications des règles sudoers |
security_audit_kernel_modules |
false | auditd suivra toutes les opérations de modules ainsi que les configurations sysctl |
security_audit_logon |
true | auditd suivra toutes les connexions/déconnexions/sessions |
security_audit_elevated_privilege_commands |
true | auditd suivra toutes les commandes avec privilèges élevés |
security_audit_all_commands |
false | auditd suivra TOUTES les commandes |
security_audit_log_integrity |
false | auditd surveillera l'intégrité des journaux et de la configuration de journalisation |
security_audit_configuration_immutable |
false | auditd rendra ses règles immuables, un redémarrage sera nécessaire pour apporter des modifications |
security_audit_custom_rules |
vide | Ceci est une variable multi-ligne, qui si définie, doit contenir des règles d'audit complètes qui seront ajoutées au fichier de configuration |
À propos du projet
Ansible Role for enforcing security settings related to enterprise compliance on enterprise grade OS.
Installer
ansible-galaxy install scathatheworm.security-settingsLicence
gpl-2.0
Téléchargements
118
Propriétaire
IT stuff.