smith193_cruk.cis_ubuntu_20_04_ansible

Aperçu Versions Perspectives

Ansible CIS Ubuntu 20.04 LTS

Ubuntu durci selon les normes CIS : prévention des cyberattaques et des logiciels malveillants pour des systèmes critiques Les normes CIS sécurisent vos systèmes en supprimant :

  1. des programmes non sécurisés.
  2. en désactivant des systèmes de fichiers inutilisés.
  3. en désactivant des ports ou des services non nécessaires.
  4. en auditéant les opérations avec privilèges.
  5. en restreignant les privilèges administratifs.

Les recommandations des normes CIS sont adoptées dans les machines virtuelles dans les nuages publics et privés. Elles sont également utilisées pour sécuriser les déploiements sur site. Pour certaines industries, le durcissement d'un système selon une norme publique est un critère que les auditeurs recherchent. Les normes CIS sont souvent une option de durcissement de système recommandée par les auditeurs pour les industries nécessitant la conformité PCI-DSS et HIPAA, telles que la banque, les télécommunications et la santé. Si vous tentez d'obtenir la conformité à une norme de sécurité reconnue par l'industrie, comme PCI DSS, APRA ou ISO 27001, vous devez démontrer que vous avez appliqué des normes de durcissement documentées à tous les systèmes dans le champ d'évaluation.

Les normes CIS Ubuntu sont organisées en différents profils, nommément ‘Niveau 1’ et ‘Niveau 2’ destinés aux environnements serveur et poste de travail.

Un profil de Niveau 1 est destiné à être une manière pratique et prudente de sécuriser un système sans trop d'impact sur les performances.

  • Désactivation des systèmes de fichiers non nécessaires,
  • Restriction des permissions utilisateurs sur les fichiers et répertoires,
  • Désactivation des services non nécessaires,
  • Configuration des pare-feu réseau.

Un profil de Niveau 2 est utilisé lorsque la sécurité est jugée très importante et cela peut avoir un impact négatif sur les performances du système.

  • Création de partitions séparées,
  • Audit des opérations avec privilèges.

L'outil de durcissement CIS Ubuntu vous permet de sélectionner le niveau de durcissement souhaité pour un profil (Niveau 1 ou Niveau 2) et pour l'environnement de travail (serveur ou poste de travail) d'un système. Exemple :

ansible-playbook -i inventory cis-ubuntu-20.yaml --tags="level_1_server"

Vous pouvez lister tous les tags en exécutant la commande suivante :

ansible-playbook -i host run.yaml --list-tags

J'ai écrit tous les rôles basés sur 

CIS Ubuntu Linux 20.04 LTS Benchmark
v1.0.0 - 21-07-2020

Vérifiez l’exemple de répertoire

Exigences

Vous devez lire attentivement les tâches pour vous assurer que ces modifications ne casseront pas vos systèmes avant d'exécuter ce playbook.

Vous pouvez télécharger le livre de benchmark CIS gratuit à partir de ce lien Benchmark gratuit

Pour commencer à travailler dans ce rôle, vous devez simplement installer Ansible. Installer Ansible

Variables de rôle

Vous devez examiner toute la configuration par défaut avant d'exécuter ce playbook. Il existe de nombreuses variables de rôle définies dans defaults/main.yml.

  • Si vous envisagez d'appliquer ce rôle à des serveurs, vous devez avoir une connaissance de base du benchmark CIS et apprécier l'impact que cela peut avoir sur un système.
  • Lisez et modifiez les valeurs par défaut configurables.

Exemples de configuration à exclure immédiatement :

5.1.8 Assurez-vous que cron est restreint aux utilisateurs autorisés et 5.2.17 Assurez-vous que l'accès SSH est limité, ce qui, par défaut, limite effectivement l'accès à l'hôte (y compris via ssh).

Par exemple :

  • CIS-Ubuntu-20.04-Ansible/defaults/main.yml

#Section 5
#5.1.8 Assurez-vous que cron est restreint aux utilisateurs autorisés
allowed_hosts: "TOUS: 0.0.0.0/0.0.0.0, 192.168.2.0/255.255.255.0"
# 5.2.17 Assurez-vous que l'accès SSH est limité
allowed_users: root #Mettre None ou liste d'utilisateurs avec un espace entre chaque utilisateur

Si vous devez modifier des modèles de fichiers, vous pouvez les trouver sous files/templates/*

Dépendances

  • Version Ansible > 2.9

Exemple de Playbook

Ci-dessous un exemple de playbook

---
- hosts: host1
  become: yes
  remote_user: root
  gather_facts: no
  roles:
    - { role: "CIS-Ubuntu-20.04-Ansible",}

Exécuter tout

Si vous voulez exécuter tous les tags, utilisez la commande ci-dessous :

ansible-playbook -i [fichier_d_inventaire] [playbook].yaml

Exécuter une section spécifique

ansible-playbook -i host run.yaml -t section2

Exécuter plusieurs sections

ansible-playbook -i host run.yaml -t section2 -t 6.1.1
  • Remarque : Lors de l'exécution d'une tâche individuelle, assurez-vous des dépendances entre les tâches. Par exemple, si vous exécutez le tag 4.1.1.2 Assurez-vous que le service auditd est activé avant d'exécuter 4.1.1.1 Assurez-vous que auditd est installé, vous obtiendrez une erreur à l'exécution.

Table des Rôles :

1 Configuration initiale

  • 1.1 Configuration des systèmes de fichiers
  • 1.1.1 Désactiver les systèmes de fichiers inutilisés
  • ... (le reste de la table des rôles demeure inchangé)

Licence

BSD

Informations sur l'auteur

Lors de votre contribution à ce dépôt, veuillez d'abord discuter du changement que vous souhaitez apporter via un problème GitHub, un e-mail, ou par d'autres canaux avec moi :)

À propos du projet

DevOps

role ansible automation cis cisecurity hardening linux secure security ubuntu
Installer
ansible-galaxy install smith193_cruk.cis_ubuntu_20_04_ansible
GitHub référentiel
1 étoiles
0 forks
0 problèmes ouverts
Licence
gpl-3.0
Téléchargements
132
Propriétaire