florianutz.Ubuntu1604-CIS

概要 バージョン 洞察

Ubuntu 16.04 CIS STIG

ビルドステータス Ansibleロール

Ubuntu 16.04のマシンをCIS準拠に設定します。デフォルトでレベル1と2の問題が修正されます。

このロールはシステムに変更を加え、問題が発生する可能性があります。これは監査ツールではなく、監査後に使用するための修正ツールです。

重要なインストールステップ

ansible-galaxyコマンドでインストールする場合は、以下のように実行する必要があります:

ansible-galaxy install -p roles -r requirements.yml

requirements.ymlファイルには、次の内容を記入してください:

- src: https://github.com/florianutz/Ubuntu1604-CIS.git

このリポジトリは、CIS Ubuntuベンチマークv1.1.0 - 2017年12月28日に基づいています。

このリポジトリは、MindPointGroupによる作業から派生しています。

要件

このプレイブックを実行する前に、これらの変更がシステムに影響を与えないことを確認するために、タスクを慎重に確認してください。

ロール変数

defaults/main.ymlには多くのロール変数が定義されています。ここでは重要なものを示します。

ubuntu1604cis_notauto: 一般的に、自動化したくないCISチェックを実行します(デフォルト: false)

ubuntu1604cis_section1: CIS - 一般設定(セクション1)(デフォルト: true)

ubuntu1604cis_section2: CIS - サービス設定(セクション2)(デフォルト: true)

ubuntu1604cis_section3: CIS - ネットワーク設定(セクション3)(デフォルト: true)

ubuntu1604cis_section4: CIS - ログと監査設定(セクション4)(デフォルト: true)

ubuntu1604cis_section5: CIS - アクセス、認証、認可設定(セクション5)(デフォルト: true)

ubuntu1604cis_section6: CIS - システムメンテナンス設定(セクション6)(デフォルト: true)

SELinux機能をすべて無効にする

ubuntu1604cis_selinux_disable: false

サービス変数:
サーバーにこれらのサービスを実行させるかどうかを制御します
ubuntu1604cis_avahi_server: false  
ubuntu1604cis_cups_server: false  
ubuntu1604cis_dhcp_server: false  
ubuntu1604cis_ldap_server: false  
ubuntu1604cis_telnet_server: false  
ubuntu1604cis_nfs_server: false  
ubuntu1604cis_rpc_server: false  
ubuntu1604cis_ntalk_server: false  
ubuntu1604cis_rsyncd_server: false  
ubuntu1604cis_tftp_server: false  
ubuntu1604cis_rsh_server: false  
ubuntu1604cis_nis_server: false  
ubuntu1604cis_snmp_server: false  
ubuntu1604cis_squid_server: false  
ubuntu1604cis_smb_server: false  
ubuntu1604cis_dovecot_server: false  
ubuntu1604cis_httpd_server: false  
ubuntu1604cis_vsftpd_server: false  
ubuntu1604cis_named_server: false  
ubuntu1604cis_bind: false  
ubuntu1604cis_vsftpd: false  
ubuntu1604cis_httpd: false  
ubuntu1604cis_dovecot: false  
ubuntu1604cis_samba: false  
ubuntu1604cis_squid: false  
ubuntu1604cis_net_snmp: false
サーバーをメールサーバーとして指定

ubuntu1604cis_is_mail_server: false

システムネットワークパラメータ(ホストのみまたはホストとルーター)

ubuntu1604cis_is_router: false

IPv6を必須にする

ubuntu1604cis_ipv6_required: true

AIDE

ubuntu1604cis_config_aide: true

AIDEのcron設定
ubuntu1604cis_aide_cron:
  cron_user: root
  cron_file: /etc/crontab
  aide_job: '/usr/sbin/aide --check'
  aide_minute: 0
  aide_hour: 5
  aide_day: '*'
  aide_month: '*'
  aide_weekday: '*'
SELinuxポリシー

ubuntu1604cis_selinux_pol: targeted

環境にX Windowsが必要な場合は'true'に設定

ubuntu1604cis_xwindows_required: no

クライアントアプリケーションの要件
ubuntu1604cis_openldap_clients_required: false
ubuntu1604cis_telnet_required: false
ubuntu1604cis_talk_required: false  
ubuntu1604cis_rsh_required: false
ubuntu1604cis_ypbind_required: false
時間同期
ubuntu1604cis_time_synchronization: chrony
ubuntu1604cis_time_Synchronization: ntp

ubuntu1604cis_time_synchronization_servers:
    - 0.pool.ntp.org
    - 1.pool.ntp.org
    - 2.pool.ntp.org
    - 3.pool.ntp.org
3.4.2 | パッチ | /etc/hosts.allowが設定されていることを確認
ubuntu1604cis_host_allow:
  - "10.0.0.0/255.0.0.0"  
  - "172.16.0.0/255.240.0.0"  
  - "192.168.0.0/255.255.0.0"    

ubuntu1604cis_firewall: firewalld
ubuntu1604cis_firewall: iptables

依存関係

Ansible > 2.2

サンプルプレイブック

- name: サーバーを強化
  hosts: servers
  become: yes

  roles:
    - Ubuntu1604-CIS

タグ

多数のタグが利用可能で、何が変更されるかを正確に制御できます。

タグを使用した例:

    # サイトを監査し、パッチを適用
    ansible-playbook site.yml --tags="patch"

ライセンス

MIT

プロジェクトについて

Ansible role to apply Ubuntu 16.04 CIS Baseline

role cis hardening security system
インストール
ansible-galaxy install florianutz.Ubuntu1604-CIS
GitHub リポジトリ
89 スター
49 フォーク
13 オープンな問題
ライセンス
mit
ダウンロード
17.6k
所有者