opstree_devops.linux_armour
Ansible ロール: osm_linux_armour
この Ansible ロールは、CIS ベンチマークに基づいて Ubuntu の監査を行います。
| 番号 | サービス | チェック内容 |
|---|---|---|
| 1. | 特別目的サービス | Avahi、DHCP、LDAP サーバーが無効であることを確認します。 |
| 2. | サービスクライアント | rsh、telnet、LDAP クライアントがインストールされていないことを確認します。 |
| 3. | inetd サービス | telnet サーバー、不要なサービス、rsh サーバーがインストールされていないことを確認します。 |
| 4. | ロギングと監査 | auditd がインストールされ、オンになっていること、監査ログの保存サイズ、監査ログが満杯のときにシステムが無効になること、監査ログが自動的に削除されないこと、ログインおよびログアウトのイベントが収集されること、セッション開始情報が収集されることを確認します。 |
| 5. | ファイルシステム設定 | 未使用のファイルシステムを無効にし、全てのワールド書き込み可能なディレクトリにスティッキービットが設定されていることを確認します(エラーの場合、引数実行可能: /bin/bash を使用)、自動マウントを無効にします。 |
| 6. | システムファイルアクセス権 | passwd、passwd-、group、group-、shadow、shadow-、gshadow、gshadow- が正しく設定されていることを確認します。 |
| 7. | ファイルシステムの整合性チェック | ファイルシステムの整合性が定期的にチェックされていることを確認します。 |
| 8. | 追加のプロセス強化 | コアダンプが制限され、prelink が無効化されていることを確認します。 |
| 9. | ネットワーク設定ホスト | IP フォワーディング、パケットリダイレクト送信が無効であること、疑わしいパケットがログに記録されていることを確認します。 |
| 10. | ネットワーク設定ホストとルーター | 偽の ICMP 応答が無視され、リバースパスフィルタリングが有効であり、TCP SYN クッキーが有効であることを確認します。 |
| 11. | TCP ラッパー | /etc/hosts.allow と /etc/hosts.deny の権限が正しく設定されていることを確認します。 |
| 12. | 一般的でないネットワークプロトコル | DCCP と SCTP が無効であることを確認します。 |
| 13. | セキュアブート設定 | ブートローダーの設定に適切な権限が設定されており、シングルユーザーモードに認証が必要であることを確認します。 |
| 14. | 必須アクセス制御 | 状態を確認し、SETroubleshoot が有効な場合にインストールされていないことを確認します。 |
バージョン履歴
| 日付 | バージョン | 説明 | 変更者 |
|---|---|---|---|
| 2月27日 | v0.0.1 | 重要な (スコア付けされた) CIS ベンチマークに基づき OS (Ubuntu) を強化 | Anjali Singh |
| 8月08日 | v0.0.2 | CentOS のサポートを追加 | Anjali Singh |
主な特徴
- このロールは、基本的な CIS ベンチマークに基づいて OS を構成します。
対応 OS
- Ubuntu: bionic
- CentOS: 8
依存関係
- テストサーバーに Python がインストールされている必要があります。
ロール変数
必須とオプションの 2 種類の変数があります。必須変数は CIS ベンチマークに従って構成する必要があり、オプション変数は使用するサービスに依存します。必要に応じて有効/無効にできます。
必須変数
| 変数 | デフォルト値 | 説明 |
|---|---|---|
| System_File_Permissions | host.conf, hostname, hosts, hosts.allow, hosts.deny, passwd, passwd-, shadow, shadow-, gshadow, gshadow-, group, group- | 権限が変更される特別なファイル。 |
| os_packages_clean | true | 非推奨パッケージを削除します。 |
| os_packages_list | xinetd, inetd, ypserv, telnet-server, telnet-client, rsh-server, rsh-client, prelink, openldap-clients, openldap2-client, ldap-utils | 不要な場合はこれらのサービスを無効にします。 |
| audit_package | auditd | すべてのログの記録を保持するために使用されます。 |
オプション変数
| 変数 | オプション値 | 説明 |
|---|---|---|
| os_services_name | avahi-daemon, dhcpd, slapd, named | 不要な場合は停止できる特別目的サービス。 |
| audit_max_log_file | 5 | 保持する必要のあるログファイルの数。 |
| os_audit_max_log_file_action | keep_logs | ログを保存します。 |
インベントリ
インベントリは次のように見えるべきです:
[osconfig]
192.168.1.198 ansible_user=ubuntu
例のプレイブック
- 例のプレイブックは次のとおりです:-
---
- name: OS audit
hosts: osconfig
become: true
roles:
- role: osm_linux_armour
今後の提案される変更
2020 の CIS ベンチマークに基づいて更新される予定です。
参考文献
著者情報
インストール
ansible-galaxy install opstree_devops.linux_armourライセンス
Unknown
ダウンロード
460
所有者