smith193_cruk.cis_ubuntu_20_04_ansible

概要 バージョン 洞察

Ansible CIS Ubuntu 20.04 LTS

CISハード化されたUbuntu: 重要なシステムのサイバー攻撃とマルウェア防止 CISベンチマークは、次のことを行うことでシステムをロックダウンします:

  1. 非安全なプログラムの削除。
  2. 未使用のファイルシステムの無効化。
  3. 不要なポートやサービスの無効化。
  4. 特権操作の監査。
  5. 管理者権限の制限。

CISベンチマークの推奨事項は、公共及び私的クラウド内の仮想マシンに適用されます。また、オンプレミスのデプロイを保護するためにも使用されます。特定の業界では、一般的に知られている標準に対してシステムをハード化することが監査人が求める基準です。CISベンチマークは、銀行、通信、医療などの業界でPCI-DSSやHIPPA準拠が必要とされる場合に、監査人から推奨されるシステムハードニングの選択肢です。 業界で受け入れられているセキュリティ標準(PCI DSS、APRA、ISO 27001など)に準拠を得ることを目指す場合、評価対象のすべてのシステムに対して文書化されたハードニング基準を適用したことを示す必要があります。

Ubuntu CISベンチマークは、「レベル1」「レベル2」の異なるプロファイルに整理されており、サーバーとワークステーション環境を対象としています。

レベル1プロファイルは、システムをあまりパフォーマンスに影響を与えずに保護するための実用的かつ慎重な方法です。

  • 不要なファイルシステムの無効化、
  • ファイルやディレクトリへのユーザー権限の制限、
  • 不要なサービスの無効化。
  • ネットワークファイアウォールの設定。

レベル2プロファイルは、セキュリティが非常に重要とみなされ、システムのパフォーマンスに悪影響を及ぼす可能性があります。

  • 別々のパーティションの作成、
  • 特権操作の監査

Ubuntu CISハードニングツールは、システムに対してプロファイル(レベル1またはレベル2)と作業環境(サーバーまたはワークステーション)に対する適切なハードニングレベルを選択できます。 例:

ansible-playbook -i inventory cis-ubuntu-20.yaml --tags="level_1_server"

全てのタグをリストアップするには、以下のコマンドを実行します:

ansible-playbook -i host run.yaml --list-tags

私が書いたすべてのロールは、以下に基づいています。

CIS Ubuntu Linux 20.04 LTS ベンチマーク
v1.0.0 - 07-21-2020

例のディレクトリを確認する

要件

このプレイブックを実行する前に、システムが壊れないことを確認するために、タスクを慎重に読み通す必要があります。

このURLから無料のCISベンチマーク本をダウンロードできます。 無料ベンチマーク

このロールで作業を開始するには、Ansibleをインストールするだけで済みます。 Ansibleのインストール

ロール変数

このプレイブックを実行する前に、すべてのデフォルト設定を確認する必要があります。 defaults/main.ymlに多くのロール変数が定義されています。

  • このロールをサーバーに適用することを考えている場合は、CISベンチマークについて基本的な理解が必要です。また、これがシステムに与える影響を認識することが重要です。
  • 設定可能なデフォルト値を読み取り、変更してください。

除外を考慮すべき設定の例:

5.1.8 cronが認可されたユーザーに制限されていることを確認する および 5.2.17 SSHアクセスが制限されていることを確認する。これはデフォルトで、ホストへのアクセス(sshを含む)を実質的に制限しています。

例えば:

  • CIS-Ubuntu-20.04-Ansible/defaults/main.yml

# セクション5
#5.1.8 cronが認可されたユーザーに制限されていることを確認する
allowd_hosts: "ALL: 0.0.0.0/0.0.0.0, 192.168.2.0/255.255.255.0"
# 5.2.17 SSHアクセスが制限されていることを確認する
allowed_users: root #ユーザーのリストをここに入れる(空白を区切る)

ファイルテンプレートを変更する必要がある場合は、files/templates/*の下にあります。

依存関係

  • Ansibleのバージョン > 2.9

例のプレイブック

以下はプレイブックの例です。

---
- hosts: host1
  become: yes
  remote_user: root
  gather_facts: no
  roles:
    - { role: "CIS-Ubuntu-20.04-Ansible",}

すべてを実行する

すべてのタグを実行したい場合は、次のコマンドを使用します:

ansible-playbook -i [inventoryfile] [playbook].yaml

特定のセクションを実行

ansible-playbook -i host run.yaml -t section2

複数のセクションを実行

ansible-playbook -i host run.yaml -t section2 -t 6.1.1
  • 注意: 個々のタスクを実行する際は、タスク間の依存関係に注意してください。例えば、4.1.1.2 auditdサービスが有効であることを確認するというタグを、4.1.1.1 auditdがインストールされていることを確認するの前に実行すると、実行時にエラーが発生します。

ロールの一覧:

1 初期設定

  • 1.1 ファイルシステム設定
  • 1.1.1 未使用ファイルシステムを無効化
  • 1.1.1.1 cramfsファイルシステムのマウントが無効であることを確認する (自動化)
  • 1.1.1.2 freevxfsファイルシステムのマウントが無効であることを確認する - (自動化)
  • 1.1.1.3 jffs2ファイルシステムのマウントが無効であることを確認する (自動化)
  • 1.1.1.4 hfsファイルシステムのマウントが無効であることを確認する (自動化)
  • 1.1.1.5 hfsplusファイルシステムのマウントが無効であることを確認する - (自動化)
  • 1.1.1.6 udfファイルシステムのマウントが無効であることを確認する (自動化)
  • 1.1.1.7 FATファイルシステムのマウントが制限されていることを確認する (手動)
  • 1.1.2 /tmpが設定されていることを確認する (自動化)
  • 1.1.3 /tmpパーティションにnodevオプションが設定されていることを確認する (自動化)
  • 1.1.4 /tmpパーティションにnosuidオプションが設定されていることを確認する (自動化)
  • 1.1.5 /tmpパーティションにnoexecオプションが設定されていることを確認する (自動化)
  • 1.1.6 /dev/shmが設定されていることを確認する (自動化)
  • 1.1.7 /dev/shmパーティションにnodevオプションが設定されていることを確認する (自動化)
  • 1.1.8 /dev/shmパーティションにnosuidオプションが設定されていることを確認する (自動化)
  • 1.1.9 /dev/shmパーティションにnoexecオプションが設定されていることを確認する (自動化)
  • 1.1.10 /var用の別パーティションが存在することを確認する (自動化)
  • 1.1.11 /var/tmp用の別パーティションが存在することを確認する (自動化)
  • 1.1.12 /var/tmpパーティションにnodevオプションが設定されていることを確認する (自動化)
  • 1.1.13 /var/tmpパーティションにnosuidオプションが設定されていることを確認する (自動化)
  • 1.1.14 /var/tmpパーティションにnoexecオプションが設定されていることを確認する (自動化)
  • 1.1.15 /var/log用の別パーティションが存在することを確認する (自動化)
  • 1.1.16 /var/log/audit用の別パーティションが存在することを確認する - (自動化)
  • 1.1.17 /home用の別パーティションが存在することを確認する (自動化)
  • 1.1.18 /homeパーティションにnodevオプションが設定されていることを確認する (自動化)
  • 1.1.19 リムーバブルメディアパーティションにnodevオプションが設定されていることを確認する (手動)
  • 1.1.20 リムーバブルメディアパーティションにnosuidオプションが設定されていることを確認する - (手動)
  • 1.1.21 リムーバブルメディアパーティションにnoexecオプションが設定されていることを確認する - (手動)
  • 1.1.22 すべてのグローバルに書き込み可能なディレクトリにsticky bitが設定されていることを確認する - (自動化)
  • 1.1.23 自動マウントが無効であることを確認する (自動化)
  • 1.1.24 USBストレージが無効であることを確認する (自動化)

1.2 ソフトウェア更新の設定

  • 1.2.1 パッケージマネージャーのリポジトリが設定されていることを確認する (手動)
  • 1.2.2 GPGキーが設定されていることを確認する (手動)

1.3 sudoの設定

  • 1.3.1 sudoがインストールされていることを確認する (自動化)
  • 1.3.2 sudoコマンドがptyを使用していることを確認する (自動化)
  • 1.3.3 sudoログファイルが存在することを確認する (自動化)

1.4 ファイルシステムの整合性チェック

  • 1.4.1 AIDEがインストールされていることを確認する (自動化)
  • 1.4.2 ファイルシステム整合性が定期的にチェックされていることを確認する (自動化)

1.5 セキュアブート設定

  • 1.5.1 ブートローダーパスワードが設定されていることを確認する (自動化)
  • 1.5.2 ブートローダー設定の権限が正しく設定されていることを確認する - (自動化)
  • 1.5.3 シングルユーザーモードに認証が必要であることを確認する (自動化)

1.6 追加のプロセスハードニング

  • 1.6.1 XD/NXサポートが有効であることを確認する (自動化)
  • 1.6.2 アドレス空間配置のランダム化(ASLR)が有効であることを確認する - (自動化)
  • 1.6.3 プリリンクが無効であることを確認する (自動化)
  • 1.6.4 コアダンプが制限されていることを確認する (自動化)

1.7 強制アクセス制御

  • 1.7.1 AppArmorを設定
  • 1.7.1.1 AppArmorがインストールされていることを確認する (自動化)
  • 1.7.1.2 ブートローダー設定でAppArmorが有効であることを確認する - (自動化)
  • 1.7.1.3 すべてのAppArmorプロファイルが強制または苦情モードであることを確認する - (自動化)
  • 1.7.1.4 すべてのAppArmorプロファイルが強制されていることを確認する (自動化)

1.8 警告バナー

  • 1.8.1 コマンドライン警告バナー
  • 1.8.1.1 今日のメッセージが正しく設定されていることを確認する (自動化)
  • 1.8.1.2 ローカルログイン警告バナーが正しく設定されていることを確認する - (自動化)
  • 1.8.1.3 リモートログイン警告バナーが正しく設定されていることを確認する - (自動化)
  • 1.8.1.4 /etc/motdの権限が正しく設定されていることを確認する (自動化)
  • 1.8.1.5 /etc/issueの権限が正しく設定されていることを確認する (自動化)
  • 1.8.1.6 /etc/issue.netの権限が正しく設定されていることを確認する - (自動化)
  • 1.9 更新、パッチ、および追加のセキュリティソフトウェアがインストールされていることを確認する (手動)
  • 1.10 GDMが削除されているか、ログインが設定されていることを確認する (自動化)

2 サービス

  • 2.1 inetdサービス
  • 2.1.1 xinetdがインストールされていないことを確認する (自動化)
  • 2.1.2 openbsd-inetdがインストールされていないことを確認する (自動化)
  • 2.2 特殊目的のサービス
  • 2.2.1 時間同期
  • 2.2.1.1 時間同期が使用されていることを確認する (自動化)
  • 2.2.1.2 systemd-timesyncdが設定されていることを確認する (手動)
  • 2.2.1.3 chronyが設定されていることを確認する (自動化)
  • 2.2.1.4 ntpが設定されていることを確認する (自動化)
  • 2.2.2 Xウィンドウシステムがインストールされていないことを確認する (自動化)
  • 2.2.3 Avahiサーバーがインストールされていないことを確認する (自動化)
  • 2.2.4 CUPSがインストールされていないことを確認する (自動化)
  • 2.2.5 DHCPサーバーがインストールされていないことを確認する (自動化)
  • 2.2.6 LDAPサーバーがインストールされていないことを確認する (自動化)
  • 2.2.7 NFSがインストールされていないことを確認する (自動化)
  • 2.2.8 DNSサーバーがインストールされていないことを確認する (自動化)
  • 2.2.9 FTPサーバーがインストールされていないことを確認する (自動化)
  • 2.2.10 HTTPサーバーがインストールされていないことを確認する (自動化)
  • 2.2.11 IMAPおよびPOP3サーバーがインストールされていないことを確認する (自動化)
  • 2.2.12 Sambaがインストールされていないことを確認する (自動化)
  • 2.2.13 HTTPプロキシサーバーがインストールされていないことを確認する (自動化)
  • 2.2.14 SNMPサーバーがインストールされていないことを確認する (自動化)
  • 2.2.15 メール転送エージェントがローカル専用モードに設定されていることを確認する - (自動化)
  • 2.2.16 rsyncサービスがインストールされていないことを確認する (自動化)
  • 2.2.17 NISサーバーがインストールされていないことを確認する (自動化)

2.3 サービスクライアント

  • 2.3.1 NISクライアントがインストールされていないことを確認する (自動化)
  • 2.3.2 rshクライアントがインストールされていないことを確認する (自動化)
  • 2.3.3 talkクライアントがインストールされていないことを確認する (自動化)
  • 2.3.4 telnetクライアントがインストールされていないことを確認する (自動化)
  • 2.3.5 LDAPクライアントがインストールされていないことを確認する (自動化)
  • 2.3.6 RPCがインストールされていないことを確認する (自動化)
  • 2.4 不要なサービスが削除またはマスクされていることを確認する (手動)

3 ネットワーク設定

  • 3.1 未使用のネットワークプロトコルとデバイスを無効化
  • 3.1.1 IPv6を無効化 (手動)
  • 3.1.2 ワイヤレスインターフェースが無効になっていることを確認する (自動化)

3.2 ネットワークパラメータ (ホスト専用)

  • 3.2.1 パケットリダイレクトの送信が無効であることを確認する (自動化)
  • 3.2.2 IP転送が無効であることを確認する (自動化)

3.3 ネットワークパラメータ (ホストおよびルーター)

  • 3.3.1 ソースルーティングパケットが受け入れられないことを確認する (自動化)
  • 3.3.2 ICMPリダイレクトが受け入れられないことを確認する (自動化)
  • 3.3.3 セキュリティICMPリダイレクトが受け入れられないことを確認する (自動化)
  • 3.3.4 疑わしいパケットがログに記録されることを確認する (自動化)
  • 3.3.5 ブロードキャストICMP要求が無視されることを確認する (自動化)
  • 3.3.6 偽のICMP応答が無視されることを確認する (自動化)
  • 3.3.7 逆パスフィルタリングが有効であることを確認する (自動化)
  • 3.3.8 TCP SYNクッキーが有効であることを確認する (自動化)
  • 3.3.9 IPv6ルーター広告が受け入れられないことを確認する (自動化)

3.4 珍しいネットワークプロトコル

  • 3.4.1 DCCPが無効であることを確認する (自動化)
  • 3.4.2 SCTPが無効であることを確認する (自動化)
  • 3.4.3 RDSが無効であることを確認する (自動化)
  • 3.4.4 TIPCが無効であることを確認する (自動化)

3.5 ファイアウォール設定

  • 3.5.1 UncomplicatedFirewallを設定
  • 3.5.1.1 Uncomplicated Firewallがインストールされていることを確認する (自動化)
  • 3.5.1.2 iptables-persistentがインストールされていないことを確認する (自動化)
  • 3.5.1.3 ufwサービスが有効であることを確認する (自動化)
  • 3.5.1.4 ループバックトラフィックが設定されていることを確認する (自動化)
  • 3.5.1.5 外部接続が設定されていることを確認する (手動)
  • 3.5.1.6 すべてのオープンポートにファイアウォールルールが存在することを確認する (手動)
  • 3.5.1.7 デフォルトのファイアウォールポリシーが拒否であることを確認する (自動化)

4 ロギングと監査

  • 4.1 システム会計 (auditd) を設定
  • 4.1.1 監査が有効であることを確認する
  • 4.1.1.1 auditdがインストールされていることを確認する (自動化)
  • 4.1.1.2 auditdサービスが有効であることを確認する (自動化)
  • 4.1.1.3 auditdの前に開始されるプロセスの監査が有効であることを確認する (自動化)
  • 4.1.1.4 audit_backlog_limitが十分であることを確認する (自動化)
  • 4.1.2 データ保持を設定
  • 4.1.2.1 監査ログの保存サイズが設定されていることを確認する (自動化)
  • 4.1.2.2 監査ログが自動的に削除されないことを確認する (自動化)
  • 4.1.2.3 監査ログが満杯の際にシステムが無効になることを確認する - (自動化)
  • 4.1.3 日付と時刻情報を変更するイベントが収集されることを確認する (自動化)
  • 4.1.4 ユーザー/グループ情報を変更するイベントが収集されることを確認する - (自動化)
  • 4.1.5 システムのネットワーク環境を変更するイベントが収集されることを確認する - (自動化)
  • 4.1.6 システムの強制アクセス制御を変更するイベントが収集されることを確認する - (自動化)
  • 4.1.7 ログインとログアウトイベントが収集されることを確認する (自動化)
  • 4.1.8 セッション開始情報が収集されることを確認する (自動化)
  • 4.1.9 裁量アクセス制御の権限変更イベントが収集されることを確認する (自動化)
  • 4.1.10 権限のないファイルアクセス試行の失敗が収集されることを確認する (自動化)
  • 4.1.11 特権コマンドの使用が収集されることを確認する (自動化)
  • 4.1.12 成功したファイルシステムのマウントが収集されることを確認する (自動化)
  • 4.1.13 ユーザーによるファイル削除イベントが収集されることを確認する (自動化)
  • 4.1.14 システム管理の範囲の変更 (sudoers) が収集されることを確認する - (自動化)
  • 4.1.15 システム管理者のコマンド実行 (sudo) が収集されることを確認する - (自動化)
  • 4.1.16 カーネルモジュールの読み込みとアンロードが収集されることを確認する - (自動化)
  • 4.1.17 監査設定が不変であることを確認する (自動化)

4.2 ロギングを設定

  • 4.2.1 rsyslogを設定
  • 4.2.1.1 rsyslogがインストールされていることを確認する (自動化)
  • 4.2.1.2 rsyslogサービスが有効であることを確認する (自動化)
  • 4.2.1.3 ロギングが設定されていることを確認する (手動)
  • 4.2.1.4 rsyslogのデフォルトファイルの権限が設定されていることを確認する - (自動化)
  • 4.2.1.5 rsyslogがリモートログホストにログを送信するように設定されていることを確認する (自動化)
  • 4.2.1.6 リモートrsyslogメッセージが指定されたログホストでのみ受け入れられることを確認する。 (手動)
  • 4.2.2 journaldを設定
  • 4.2.2.1 journaldがrsyslogにログを送信するように設定されていることを確認する - (自動化)
  • 4.2.2.2 journaldが大きなログファイルを圧縮するように設定されていることを確認する - (自動化)
  • 4.2.2.3 journaldがログファイルを永続ディスクに書き込むように設定されていることを確認する - (自動化)
  • 4.2.3 すべてのログファイルの権限が設定されていることを確認する (自動化)
  • 4.3 logrotateが設定されていることを確認する (手動)
  • 4.4 logrotateが適切な権限を割り当てていることを確認する (自動化)

5 アクセス、認証、認可

  • 5.1 時間ベースのジョブスケジューラを設定
  • 5.1.1 cronデーモンが有効で稼働中であることを確認する (自動化)
  • 5.1.2 /etc/crontabの権限が設定されていることを確認する (自動化)
  • 5.1.3 /etc/cron.hourlyの権限が設定されていることを確認する - (自動化)
  • 5.1.4 /etc/cron.dailyの権限が設定されていることを確認する - (自動化)
  • 5.1.5 /etc/cron.weeklyの権限が設定されていることを確認する - (自動化)
  • 5.1.6 /etc/cron.monthlyの権限が設定されていることを確認する - (自動化)
  • 5.1.7 /etc/cron.dの権限が設定されていることを確認する (自動化)
  • 5.1.8 cronが認可されたユーザーに制限されていることを確認する (自動化)
  • 5.1.9 atが認可されたユーザーに制限されていることを確認する (自動化)

5.2 SSHサーバーの設定

  • 5.2.1 /etc/ssh/sshd_configの権限が設定されていることを確認する - (自動化)
  • 5.2.2 SSHプライベートホストキーのファイルの権限が設定されていることを確認する - (自動化)
  • 5.2.3 SSHパブリックホストキーのファイルの権限が設定されていることを確認する - (自動化)
  • 5.2.4 SSH LogLevelが適切であることを確認する (自動化)
  • 5.2.5 SSH X11フォワーディングが無効であることを確認する (自動化)
  • 5.2.6 SSH MaxAuthTriesが4以下に設定されていることを確認する (自動化)
  • 5.2.7 SSH IgnoreRhostsが有効であることを確認する (自動化)
  • 5.2.8 SSH HostbasedAuthenticationが無効であることを確認する (自動化)
  • 5.2.9 SSHルートログインが無効であることを確認する (自動化)
  • 5.2.10 SSH PermitEmptyPasswordsが無効であることを確認する (自動化)
  • 5.2.11 SSH PermitUserEnvironmentが無効であることを確認する (自動化)
  • 5.2.12 強力な暗号のみが使用されていることを確認する (自動化)
  • 5.2.13 強力なMACアルゴリズムのみが使用されていることを確認する (自動化)
  • 5.2.14 強力な鍵交換アルゴリズムのみが使用されていることを確認する - (自動化)
  • 5.2.15 SSHアイドルタイムアウトインターバルが設定されていることを確認する (自動化)
  • 5.2.16 SSH LoginGraceTimeが1分以下に設定されていることを確認する - (自動化)
  • 5.2.17 SSHアクセスが制限されていることを確認する (自動化)
  • 5.2.18 SSH警告バナーが設定されていることを確認する (自動化)
  • 5.2.19 SSH PAMが有効であることを確認する (自動化)
  • 5.2.20 SSH AllowTcpForwardingが無効であることを確認する (自動化)
  • 5.2.21 SSH MaxStartupsが設定されていることを確認する (自動化)
  • 5.2.22 SSH MaxSessionsが制限されていることを確認する (自動化)

5.3 PAMの設定

  • 5.3.1 パスワード作成要件が設定されていることを確認する - (自動化)
  • 5.3.2 失敗したパスワード試行に対するロックアウトが設定されていることを確認する - (自動化)
  • 5.3.3 パスワードの再利用が制限されていることを確認する (自動化)
  • 5.3.4 パスワードハッシュアルゴリズムがSHA-512であることを確認する (自動化)

5.4 ユーザーアカウントと環境

  • 5.4.1 シャドウパスワードスイートパラメータを設定
  • 5.4.1.1 パスワードの有効期限が365日以下であることを確認する (自動化)
  • 5.4.1.2 パスワード変更の最小日数が設定されていることを確認する - (自動化)
  • 5.4.1.3 パスワード有効期限警告日の設定が7日以上であることを確認する - (自動化)
  • 5.4.1.4 非アクティブパスワードロックが30日以下であることを確認する (自動化)
  • 5.4.1.5 すべてのユーザーの最終パスワード変更日が過去の日付であることを確認する - (自動化)
  • 5.4.2 システムアカウントがセキュリティされていることを確認する (自動化)
  • 5.4.3 rootアカウントのデフォルトグループがGID 0であることを確認する (自動化)
  • 5.4.4 デフォルトユーザーumaskが027またはそれ以上に制限されていることを確認する - (自動化)
  • 5.4.5 デフォルトユーザーシェルタイムアウトが900秒以下であることを確認する - (自動化)
  • 5.5 rootログインがシステムコンソールに制限されていることを確認する (手動)
  • 5.6 suコマンドへのアクセスが制限されていることを確認する (自動化)

6 システムのメンテナンス

  • 6.1 システムファイルの権限
  • 6.1.1 システムファイルの権限を監査 (手動)
  • 6.1.2 /etc/passwdの権限が設定されていることを確認する (自動化)
  • 6.1.3 /etc/gshadowの権限が設定されていることを確認する - (自動化)
  • 6.1.4 /etc/shadowの権限が設定されていることを確認する (自動化)
  • 6.1.5 /etc/groupの権限が設定されていることを確認する (自動化)
  • 6.1.6 /etc/passwd-の権限が設定されていることを確認する (自動化)
  • 6.1.7 /etc/shadow-の権限が設定されていることを確認する (自動化)
  • 6.1.8 /etc/group-の権限が設定されていることを確認する (自動化)
  • 6.1.9 /etc/gshadowの権限が設定されていることを確認する (自動化)
  • 6.1.10 グローバルに書き込み可能なファイルが存在しないことを確認する (自動化)
  • 6.1.11 所有者のないファイルやディレクトリが存在しないことを確認する (自動化)
  • 6.1.12 グループに所属しないファイルやディレクトリが存在しないことを確認する (自動化)
  • 6.1.13 SUID実行可能ファイルを監査 (手動)
  • 6.1.14 SGID実行可能ファイルを監査 (手動)

6.2 ユーザーとグループの設定

  • 6.2.1 パスワードフィールドが空でないことを確認する (自動化)
  • 6.2.2 rootが唯一のUID 0アカウントであることを確認する (自動化)
  • 6.2.3 rootのPATHの整合性が確認されることを確認する (自動化)
  • 6.2.4 すべてのユーザーのホームディレクトリが存在することを確認する (自動化)
  • 6.2.5 ユーザーのホームディレクトリの権限が750以上に制限されていることを確認する (自動化)
  • 6.2.6 ユーザーが自分のホームディレクトリを所有していることを確認する (自動化)
  • 6.2.7 ユーザーのドットファイルがグループまたは世界に書き込み可能でないことを確認する (自動化)
  • 6.2.8 ユーザーに.forwardファイルがないことを確認する (自動化)
  • 6.2.9 ユーザーに.netrcファイルがないことを確認する (自動化)
  • 6.2.10 ユーザーの.netrcファイルがグループまたは全体でアクセスできないことであることを確認する (自動化)
  • 6.2.11 ユーザーに.rhostsファイルがないことを確認する (自動化)
  • 6.2.12 /etc/passwdのすべてのグループが/etc/groupに存在することを確認する - (自動化)
  • 6.2.13 UIDの重複が存在しないことを確認する (自動化)
  • 6.2.14 GIDの重複が存在しないことを確認する (自動化)
  • 6.2.15 ユーザー名の重複が存在しないことを確認する (自動化)
  • 6.2.16 グループ名の重複が存在しないことを確認する (自動化)
  • 6.2.17 シャドウグループが空であることを確認する (自動化)

ライセンス

BSD

著者情報

このリポジトリに貢献する際は、まず、変更したい内容をGitHubのイシュー、電子メール、または他の手段で私と相談してください :)

プロジェクトについて

DevOps

role ansible automation cis cisecurity hardening linux secure security ubuntu
インストール
ansible-galaxy install smith193_cruk.cis_ubuntu_20_04_ansible
GitHub リポジトリ
1 スター
0 フォーク
0 オープンな問題
ライセンス
gpl-3.0
ダウンロード
132
所有者