scathatheworm.security-settings
ansible-security-settings
Rola Ansible do egzekwowania ustawień bezpieczeństwa związanych z zgodnością w systemach operacyjnych dla przedsiębiorstw.
Opis
Ta rola konfiguruje różne ustawienia bezpieczeństwa dotyczące logowania, zarządzania hasłami, ssh, pam, konfiguracji selinux i innych. Została zaprojektowana do spełniania wymogów zgodności przedsiębiorstw.
Konfiguruje:
- moduły pam tally i faillock do automatycznego zablokowania konta po nieudanych próbach logowania
- historię haseł
- złożoność haseł
- port ssh, logowanie jako root, baner, szyfrowanie, ustawienia przekazywania portów
- stan selinux i zapory ogniowej
- limit czasu w powłoce
- wyłączenie fizycznych przerw i kombinacji ctrl-alt-del
- konfigurację Linux auditd
- stan zapory ogniowej
- konfigurację Magic SysRq
Zmienne dotyczące starzenia haseł:
| Nazwa | Wartość domyślna | Opis |
|---|---|---|
os_auth_pw_max_age |
60 | Maksymalna liczba dni, przez które hasło jest ważne przed wymuszeniem zmiany |
os_auth_pw_min_age |
10 | Minimalna liczba dni, przez które hasło musi być ważne przed możliwością zmiany |
os_auth_pw_warn_age |
7 | Liczba dni przed wygaśnięciem hasła, kiedy konto będzie ostrzegane |
passhistory |
6 | liczba haseł do zapamiętania, aby uniknąć ich ponownego użycia |
Zmienne dotyczące złożoności haseł:
| Nazwa | Wartość domyślna | Opis |
|---|---|---|
pwquality_minlen |
8 | Minimalna długość hasła w znakach |
pwquality_maxrepeat |
3 | Maksymalna liczba powtórzeń tych samych znaków w haśle |
pwquality_lcredit |
-1 | Liczba małych liter, które muszą być obecne w haśle; dla 2 użyj '-2' itd. |
pwquality_ucredit |
-1 | Liczba dużych liter, które muszą być obecne w haśle; dla 2 użyj '-2' itd. |
pwquality_dcredit |
-1 | Liczba cyfr, które muszą być obecne w haśle; dla 2 użyj '-2' itd. |
pwquality_ocredit |
-1 | Liczba znaków specjalnych, które muszą być obecne w haśle; dla 2 użyj '-2' itd. |
solaris_dictionary_minwordlength |
5 | Minimalna długość słowa w słowniku Solaris |
Zmienne dotyczące nieaktywności konta i nieudanych logowań:
| Nazwa | Wartość domyślna | Opis |
|---|---|---|
fail_deny |
5 | Liczba prób logowania z błędnym hasłem przed zablokowaniem konta |
fail_unlock |
0 | Czas w sekundach po którym konto zostanie odblokowane po nieudanych próbach logowania; ustawienie 0 wyłącza automatyczne odblokowanie i hasła pozostaną zablokowane |
inactive_lock |
0 | Liczba dni, przez które konto może być nieaktywne przed zablokowaniem; wartość 0 wyłącza blokadę z powodu nieaktywności |
shell_timeout |
900 | Pożądany limit czasu w powłoce w sekundach; ustaw 0, aby wyłączyć |
Zmienne dotyczące usług systemowych i ustawień:
| Nazwa | Wartość domyślna | Opis |
|---|---|---|
selinux_state |
permissive | Wartość konfiguracji selinux |
firewall_check |
false | Konfiguruje, czy rola powinna sprawdzać konfigurację zapory ogniowej |
firewall_state |
stopped | Pożądany stan zapory ogniowej |
firewall_enable |
'no' | Pożądany stan konfiguracji zapory ogniowej |
disable_ctrlaltdel |
True | Wyłączenie kombinacji Control-Alt-Del i fizycznego wysyłania przerwy w Solaris |
solaris_disable_services |
false | Wyłączenie niebezpiecznych usług Solaris |
magic_sysrq |
1 | Wartość ustawienia kernel.sysrq w systemie Linux, akceptowana przez jądro Linux |
Zmienne dotyczące konfiguracji SSH:
| Nazwa | Wartość domyślna | Opis |
|---|---|---|
sshrootlogin |
'no' | Zezwolenie na logowanie root przez ssh; zachowaj znaki pojedyncze, aby uniknąć oceny logicznej |
sshportforwarding |
'no' | Opcje konfiguracji dla przekazywania portów; wartości jak w pliku konfiguracyjnym: yes, no, remote, local |
sshmainport |
22 | Główny port ssh |
sshextraport |
0 | Dodatkowy port ssh; ustaw 0, aby wyłączyć dodatkowy port |
setloginbanner |
true | Użycie banera logowania w ssh |
sshd_solaris_restrict_ipv4 |
True | Ograniczenie połączeń ssh do ipv4 w Solaris jako obejście problemów z DISPLAY |
ssh_enforce_ciphers |
True | Wymuszenie silnych szyfrów i MAC w ssh; false wyłącza i pozwala na wszystkie obsługiwane MAC i szyfry |
sha1_mac_enabled |
False | Wyłączenie użycia sha1 HMAC w ssh; istnieją teoretyczne wektory ataku |
md5_mac_enabled |
False | Wyłączenie użycia md5 HMAC w ssh; są znane podatności i wektory ataku |
truncated_mac_enabled |
False | Wyłączenie użycia skróconych 96-bitowych HMAC md5 lub sha1 w ssh; krótsze podzbiory md5 i sha1 |
cbc_ciphers_enabled |
False | Wyłączenie użycia szyfrów w trybie Cipher Block Chaining w ssh; uznawane za podatne na kilka ataków Padding on Oracle |
sweet32_ciphers_enabled |
False | Włączenie użycia 64-bitowych szyfrów w trybie Cipher Block Chaining w ssh; uznawane za podatne na atak SWEET32 |
rc4_ciphers_enabled |
False | Włączenie użycia szyfrów arcfour w ssh; uznawane za podatne na praktyczne ataki |
nist_curves_enabled |
false | Wyłączenie kryptografii krzywych NIST KEX, ponieważ są one słabe w wielu aspektach |
logjam_sha1_enabled |
false | Wyłączenie algorytmów KEX SHA1, podatnych na ataki logjam |
Zmienne dotyczące konfiguracji audytu:
| Nazwa | Wartość domyślna | Opis |
|---|---|---|
auditd_configure: |
true | Włączenie zarządzania konfiguracją auditd |
auditd_max_log_filesize |
25 | Maksymalny rozmiar pliku logu audytu w MB |
auditd_num_logs |
8 | Maksymalna liczba logów audytu do zachowania |
security_audit_datetime_changes |
true | auditd będzie śledzić wszystkie zmiany daty lub czasu |
security_audit_account_modifications |
true | auditd będzie śledzić wszystkie modyfikacje kont |
security_audit_network_changes |
true | auditd będzie śledzić wszystkie zmiany konfiguracji sieci |
security_audit_selinux_changes |
true | auditd będzie śledzić zmiany w konfiguracjach selinux |
security_audit_permission_changes |
false | auditd będzie śledzić wszystkie zmiany uprawnień do plików |
security_audit_fileaccess_failedattempts |
false | auditd będzie śledzić wszystkie nieautoryzowane próby dostępu do plików |
security_audit_filesystem_mounts |
true | auditd będzie śledzić wszystko dotyczące montowania/odmontowania systemów plików |
security_audit_deletions |
false | auditd będzie śledzić wszystkie usunięcia plików |
security_audit_sudoers |
true | auditd będzie śledzić wszystkie modyfikacje zasad sudoers |
security_audit_kernel_modules |
false | auditd będzie śledzić wszystkie operacje modułów oraz konfiguracje sysctl |
security_audit_logon |
true | auditd będzie śledzić wszystkie logowania/wylogowania/sesje |
security_audit_elevated_privilege_commands |
true | auditd będzie śledzić wszystkie polecenia z podwyższonymi uprawnieniami |
security_audit_all_commands |
false | auditd będzie śledzić WSZYSTKIE polecenia |
security_audit_log_integrity |
false | auditd będzie monitorować integralność logów i konfigurację logowania |
security_audit_configuration_immutable |
false | auditd uczyni swoje zasady niezmiennymi; wymagany będzie restart, aby dokonać zmian |
security_audit_custom_rules |
puste | To jest zmienna wieloliniowa, która, jeśli zostanie zdefiniowana, powinna zawierać kompletne zasady audytu, które zostaną dodane do pliku konfiguracyjnego |
O projekcie
Ansible Role for enforcing security settings related to enterprise compliance on enterprise grade OS.
Zainstaluj
ansible-galaxy install scathatheworm.security-settingsLicencja
gpl-2.0
Pobrania
118
Właściciel
IT stuff.