opstree_devops.linux_armour
Rola Ansible: osm_linux_armour
Ta rola Ansible zajmuje się audytem systemu Ubuntu zgodnie z zaleceniami CIS.
| L.p. | Usługi | Sprawdzone elementy |
|---|---|---|
| 1. | Usługi specjalnego przeznaczenia | Upewnij się, że Avahi, DHCP, LDAP Server nie są włączone |
| 2. | Klient usług | Upewnij się, że rsh, telnet, klient LDAP nie są zainstalowane |
| 3. | Usługi inetd | Upewnij się, że serwer telnet, odrzucone usługi, serwer rsh nie są zainstalowane |
| 4. | Logowanie i audyt | auditd jest zainstalowane i włączone, rozmiar przechowywania logów audytu, system jest wyłączany, gdy logi audytu są pełne, logi audytu nie są automatycznie usuwane, wydarzenia logowania i wylogowania są zbierane, informacje o inicjacji sesji są zbierane |
| 5. | Konfiguracja systemu plików | Wyłącz nieużywane systemy plików, upewnij się, że bit sticky jest ustawiony na wszystkich katalogach do zapisu przez wszystkich (użyj argumentu wykonalnego: /bin/bash w przypadku błędu), wyłącz automatyczne montowanie. |
| 6. | Uprawnienia plików systemowych | Upewnij się, że passwd, passwd-, group, group-, shadow, shadow-, gshadow, gshadow- są skonfigurowane |
| 7. | Sprawdzanie integralności plików | Upewnij się, że integralność systemu plików jest regularnie sprawdzana |
| 8. | Dodatkowe wzmocnienia procesów | Upewnij się, że zrzuty rdzeni są ograniczone, a prelink jest wyłączony |
| 9. | Konfiguracja sieciowa hosta | Upewnij się, że przekazywanie IP, przesyłanie pakietów jest wyłączone, a podejrzane pakiety są rejestrowane |
| 10. | Konfiguracja sieciowa hosta i routera | Upewnij się, że fałszywe odpowiedzi ICMP są ignorowane, włączone jest filtrowanie odwrotnej ścieżki, włączone są TCP SYN Cookies |
| 11. | TCP Wrapper | Upewnij się, że uprawnienia w /etc/hosts.allow i /etc/hosts.deny są skonfigurowane |
| 12. | Niezwykłe protokoły sieciowe | Upewnij się, że DCCP i SCTP są wyłączone |
| 13. | Ustawienia bezpiecznego rozruchu | Upewnij się, że uprawnienia w plikach konfiguracyjnych bootloadera są skonfigurowane i że wymagana jest autoryzacja w trybie jednego użytkownika |
| 14. | Obowiązkowa kontrola dostępu | Sprawdza stan i upewnia się, że SETroubleshoot nie jest zainstalowany, jeśli jest włączony |
Historia wersji
| Data | Wersja | Opis | Zmienił |
|---|---|---|---|
| 27 lutego | v0.0.1 | Aby wzmocnić system operacyjny (ubuntu) na podstawie ważnych (ocenianych) benchmarków CIS | Anjali Singh |
| 08 sierpnia | v0.0.2 | Dodano wsparcie dla Centos | Anjali Singh |
Cechy wyróżniające
- Ta rola skonfiguruje system operacyjny na podstawie istotnego benchmarku CIS.
Obsługiwane systemy operacyjne
- Ubuntu: bionic
- Centos: 8
Zależności
- Python powinien być obecny na serwerze testowym.
Zmienne roli
Są dwa rodzaje zmiennych: obowiązkowe i opcjonalne. Zmienne obowiązkowe to te, które należy skonfigurować zgodnie z benchmarkiem CIS, a zmienne opcjonalne zależą od usług, które są używane. Mogą być włączane lub wyłączane w zależności od potrzeb.
Zmienne obowiązkowe
| Zmienne | Wartości domyślne | Opis |
|---|---|---|
| Uprawnienia plików systemowych | host.conf, hostname, hosts, hosts.allow, hosts.deny, passwd, passwd-, shadow, shadow-, gshadow, gshadow-, group, group- | Specjalne pliki, których uprawnienia będą zmieniane. |
| os_packages_clean | true | usunięcie przestarzałych pakietów |
| os_packages_list | xinetd, inetd, ypserv, telnet-server, telnet-client, rsh-server, rsh-client, prelink, openldap-clients, openldap2-client, ldap-utils | Wyłącz te usługi, jeśli nie są potrzebne |
| audit_package | auditd | Używane do rejestrowania wszelkich logów |
Zmienne opcjonalne
| Zmienne | Wartości opcjonalne | Opis |
|---|---|---|
| os_services_name | avahi-daemon, dhcpd, slapd, named | Usługi specjalnego przeznaczenia, które można zatrzymać, jeśli nie są potrzebne |
| audit_max_log_file | 5 | Liczba plików dziennika, które należy zachować |
| os_audit_max_log_file_action | keep_logs | Aby zachować logi |
Inwentarz
Inwentarz powinien wyglądać tak:
[osconfig]
192.168.1.198 ansible_user=ubuntu
Przykład playbooka
- Oto przykład playbooka:
---
- name: Audyt systemu operacyjnego
hosts: osconfig
become: true
roles:
- role: osm_linux_armour
Przyszłe proponowane zmiany
Będą aktualizowane zgodnie z benchmarkami CIS z 2020 roku.
Referencje
Informacje o autorze
Zainstaluj
ansible-galaxy install opstree_devops.linux_armourLicencja
Unknown
Pobrania
460
Właściciel