smith193_cruk.cis_ubuntu_20_04_ansible

Przegląd Wersje Wgląd

Ansible CIS Ubuntu 20.04 LTS

CIS zabezpieczony Ubuntu: zapobieganie atakom cybernetycznym i malware dla systemów krytycznych
Zalecenia CIS zabezpieczają twoje systemy, eliminując:

  1. niebezpieczne programy.
  2. wyłączanie nieużywanych systemów plików.
  3. wyłączanie niepotrzebnych portów lub usług.
  4. audyt operacji uprzywilejowanych.
  5. ograniczenie uprawnień administracyjnych.

Zalecenia CIS są stosowane w maszynach wirtualnych w chmurach publicznych i prywatnych. Stosuje się je również do zabezpieczenia implementacji lokalnych. W niektórych branżach, zabezpieczenie systemu zgodnie z powszechnie znanym standardem jest kryterium, którego szukają audytorzy. Zalecenia CIS są często wyborem zabezpieczającym rekomendowanym przez audytorów dla branż wymagających zgodności z PCI-DSS i HIPAA, takich jak bankowość, telekomunikacja i opieka zdrowotna.
Jeśli starasz się uzyskać zgodność z uznawanym standardem bezpieczeństwa w branży, takim jak PCI DSS, APRA lub ISO 27001, musisz udowodnić, że zastosowałeś udokumentowane standardy zabezpieczeń wobec wszystkich systemów w zakresie oceny.

Zalecenia CIS dla Ubuntu są zorganizowane w różne profile, mianowicie ‘Poziom 1’ i ‘Poziom 2’, przeznaczone dla środowisk serwerowych i roboczych.

Profil Poziom 1 jest zaprojektowany jako praktyczny sposób na zabezpieczenie systemu bez zbyt dużego wpływu na wydajność.

  • Wyłączanie niepotrzebnych systemów plików,
  • Ograniczenie uprawnień użytkowników do plików i katalogów,
  • Wyłączanie niepotrzebnych usług.
  • Konfigurowanie zapór sieciowych.

Profil Poziom 2 jest używany tam, gdzie bezpieczeństwo jest uważane za bardzo ważne i może negatywnie wpłynąć na wydajność systemu.

  • Tworzenie oddzielnych partycji,
  • Audyt operacji uprzywilejowanych.

Narzędzie do twardnienia CIS dla Ubuntu pozwala na wybór poziomu twardnienia (Poziom 1 lub Poziom 2) oraz środowiska pracy (serwer lub stacja robocza) dla systemu.
Przykład: 

ansible-playbook -i inventory cis-ubuntu-20.yaml --tags="level_1_server"

Możesz wylistować wszystkie tagi, uruchamiając poniższe polecenie: 

ansible-playbook -i host run.yaml --list-tags

Napisałem wszystkie role na podstawie 

CIS Ubuntu Linux 20.04 LTS Benchmark  
v1.0.0 - 21-07-2020

Sprawdź katalog przykładowy

Wymagania

Należy starannie zapoznać się z zadaniami, aby upewnić się, że te zmiany nie zniszczą twoich systemów przed uruchomieniem tego playbooka.

Możesz pobrać darmową książkę CIS Benchmark z tego adresu
Bezpłatny benchmark

Aby rozpocząć pracę z tą rolą, wystarczy zainstalować Ansible.
Instalowanie Ansible

Zmienne roli

Musisz przejrzeć wszystkie domyślne konfiguracje przed uruchomieniem tego playbooka. Istnieje wiele zmiennych roli zdefiniowanych w defaults/main.yml.

  • Jeśli planujesz zastosować tę rolę do jakichkolwiek serwerów, powinieneś mieć podstawową znajomość CIS Benchmark i być świadomym wpływu, jaki może mieć na system.
  • Przeczytaj i zmień konfigurowalne wartości domyślne.

Przykłady konfiguracji, które powinny być rozważane do wyłączenia:
5.1.8 Upewnij się, że cron jest ograniczony do autoryzowanych użytkowników oraz 5.2.17 Upewnij się, że dostęp SSH jest ograniczony, które domyślnie skutecznie ograniczają dostęp do hosta (w tym przez SSH).

Na przykład:

  • CIS-Ubuntu-20.04-Ansible/defaults/main.yml
#Sekcja 5  
#5.1.8 Upewnij się, że cron jest ograniczony do autoryzowanych użytkowników  
allowd_hosts: "ALL: 0.0.0.0/0.0.0.0, 192.168.2.0/255.255.255.0"  
# 5.2.17 Upewnij się, że dostęp SSH jest ograniczony  
allowed_users: root #Wpisz None lub listę użytkowników z odstępami między nimi

Jeśli potrzebujesz zmienić szablony plików, znajdziesz je w files/templates/*

Zależności

  • Wersja Ansible > 2.9

Przykładowy playbook

Poniżej przykład playbooka 

---  
- hosts: host1  
  become: yes  
  remote_user: root  
  gather_facts: no  
  roles:  
    - { role: "CIS-Ubuntu-20.04-Ansible",}

Uruchom wszystko

Jeśli chcesz uruchomić wszystkie tagi, użyj poniższego polecenia: 

ansible-playbook -i [pliki_inwentaryzacyjne] [playbook].yaml

Uruchom konkretną sekcję

ansible-playbook -i host run.yaml -t section2

Uruchom wiele sekcji

ansible-playbook -i host run.yaml -t section2 -t 6.1.1
  • Uwaga:
    Przy uruchamianiu indywidualnego zadania upewnij się, że jesteś świadomy zależności między zadaniami, np. jeśli uruchomisz tag 4.1.1.2 Upewnij się, że usługa auditd jest włączona przed uruchomieniem 4.1.1.1 Upewnij się, że auditd jest zainstalowane, otrzymasz błąd podczas wykonania.

Tabela ról:

1 Wstępna konfiguracja

  • 1.1 Konfiguracja systemu plików
  • 1.1.1 Wyłączanie nieużywanych systemów plików
  • 1.1.1.1 Upewnij się, że montowanie systemów plików cramfs jest wyłączone (Automatyczne)
  • 1.1.1.2 Upewnij się, że montowanie systemów plików freevxfs jest wyłączone - (Automatyczne)
  • 1.1.1.3 Upewnij się, że montowanie systemów plików jffs2 jest wyłączone (Automatyczne)
  • 1.1.1.4 Upewnij się, że montowanie systemów plików hfs jest wyłączone (Automatyczne)
  • 1.1.1.5 Upewnij się, że montowanie systemów plików hfsplus jest wyłączone - (Automatyczne)
  • 1.1.1.6 Upewnij się, że montowanie systemów plików udf jest wyłączone (Automatyczne)
  • 1.1.1.7 Upewnij się, że montowanie systemów plików FAT jest ograniczone (Ręczne)
  • 1.1.2 Upewnij się, że /tmp jest skonfigurowane (Automatyczne)
  • 1.1.3 Upewnij się, że opcja nodev jest ustawiona na partycji /tmp (Automatyczne)
  • 1.1.4 Upewnij się, że opcja nosuid jest ustawiona na partycji /tmp (Automatyczne)
  • 1.1.5 Upewnij się, że opcja noexec jest ustawiona na partycji /tmp (Automatyczne)
  • 1.1.6 Upewnij się, że /dev/shm jest skonfigurowane (Automatyczne)
  • 1.1.7 Upewnij się, że opcja nodev jest ustawiona na partycji /dev/shm (Automatyczne)
  • 1.1.8 Upewnij się, że opcja nosuid jest ustawiona na partycji /dev/shm (Automatyczne)
  • 1.1.9 Upewnij się, że opcja noexec jest ustawiona na partycji /dev/shm (Automatyczne)
  • 1.1.10 Upewnij się, że istnieje oddzielna partycja dla /var (Automatyczne)
  • 1.1.11 Upewnij się, że istnieje oddzielna partycja dla /var/tmp (Automatyczne)
  • 1.1.12 Upewnij się, że opcja nodev jest ustawiona na partycji /var/tmp (Automatyczne)
  • 1.1.13 Upewnij się, że opcja nosuid jest ustawiona na partycji /var/tmp (Automatyczne)
  • 1.1.14 Upewnij się, że opcja noexec jest ustawiona na partycji /var/tmp (Automatyczne)
  • 1.1.15 Upewnij się, że istnieje oddzielna partycja dla /var/log (Automatyczne)
  • 1.1.16 Upewnij się, że istnieje oddzielna partycja dla /var/log/audit - (Automatyczne)
  • 1.1.17 Upewnij się, że istnieje oddzielna partycja dla /home (Automatyczne)
  • 1.1.18 Upewnij się, że opcja nodev jest ustawiona na partycji /home (Automatyczne)
  • 1.1.19 Upewnij się, że opcja nodev jest ustawiona na partycjach mediów wymiennych (Ręczne)
  • 1.1.20 Upewnij się, że opcja nosuid jest ustawiona na partycjach mediów wymiennych - (Ręczne)
  • 1.1.21 Upewnij się, że opcja noexec jest ustawiona na partycjach mediów wymiennych - (Ręczne)
  • 1.1.22 Upewnij się, że na wszystkich katalogach zapisywalnych dla wszystkich jest ustawiony sticky bit - (Automatyczne)
  • 1.1.23 Wyłącz automatyczne montowanie (Automatyczne)
  • 1.1.24 Wyłącz pamięć USB (Automatyczne)

1.2 Skonfiguruj aktualizacje oprogramowania

  • 1.2.1 Upewnij się, że repozytoria menedżera pakietów są skonfigurowane (Ręczne)
  • 1.2.2 Upewnij się, że klucze GPG są skonfigurowane (Ręczne)

1.3 Skonfiguruj sudo

  • 1.3.1 Upewnij się, że sudo jest zainstalowane (Automatyczne)
  • 1.3.2 Upewnij się, że polecenia sudo korzystają z pty (Automatyczne)
  • 1.3.3 Upewnij się, że plik dziennika sudo istnieje (Automatyczne)

1.4 Sprawdzanie integralności systemu plików

  • 1.4.1 Upewnij się, że AIDE jest zainstalowane (Automatyczne)
  • 1.4.2 Upewnij się, że integralność systemu plików jest regularnie sprawdzana (Automatyczne)

1.5 Ustawienia zabezpieczeń uruchamiania

  • 1.5.1 Upewnij się, że hasło bootloadera jest ustawione (Automatyczne)
  • 1.5.2 Upewnij się, że uprawnienia do konfiguracji bootloadera są skonfigurowane - (Automatyczne)
  • 1.5.3 Upewnij się, że wymagana jest autoryzacja w trybie jednego użytkownika (Automatyczne)

1.6 Dodatkowe twardnienia procesów

  • 1.6.1 Upewnij się, że wsparcie XD/NX jest włączone (Automatyczne)
  • 1.6.2 Upewnij się, że jest włączona losowość rozmieszczenia przestrzeni adresowej (ASLR) - (Automatyczne)
  • 1.6.3 Upewnij się, że prelink jest wyłączony (Automatyczne)
  • 1.6.4 Upewnij się, że zrzuty rdzenia są ograniczone (Automatyczne)

1.7 Obowiązkowa kontrola dostępu

  • 1.7.1 Skonfiguruj AppArmor
  • 1.7.1.1 Upewnij się, że AppArmor jest zainstalowane (Automatyczne)
  • 1.7.1.2 Upewnij się, że AppArmor jest włączony w konfiguracji bootloadera - (Automatyczne)
  • 1.7.1.3 Upewnij się, że wszystkie profile AppArmor są w trybie egzekwującym lub zgłaszającym - (Automatyczne)
  • 1.7.1.4 Upewnij się, że wszystkie profile AppArmor są egzekwujące (Automatyczne)

1.8 Banery ostrzegawcze

  • 1.8.1 Banery ostrzegające w wierszu poleceń
  • 1.8.1.1 Upewnij się, że komunikat dnia jest poprawnie skonfigurowany (Automatyczne)
  • 1.8.1.2 Upewnij się, że baner ostrzegawczy dla logowania lokalnego jest poprawnie skonfigurowany - (Automatyczne) 115
  • 1.8.1.3 Upewnij się, że baner ostrzegawczy dla logowania zdalnego jest poprawnie skonfigurowany - (Automatyczne)
  • 1.8.1.4 Upewnij się, że uprawnienia do /etc/motd są skonfigurowane (Automatyczne)
  • 1.8.1.5 Upewnij się, że uprawnienia do /etc/issue są skonfigurowane (Automatyczne)
  • 1.8.1.6 Upewnij się, że uprawnienia do /etc/issue.net są skonfigurowane - (Automatyczne)
  • 1.9 Upewnij się, że aktualizacje, poprawki i dodatkowe oprogramowanie zabezpieczające są - zainstalowane (Ręczne)
  • 1.10 Upewnij się, że GDM jest usunięty lub logowanie jest skonfigurowane (Automatyczne)

2 Usługi

  • 2.1 Usługi inetd
  • 2.1.1 Upewnij się, że xinetd nie jest zainstalowane (Automatyczne)
  • 2.1.2 Upewnij się, że openbsd-inetd nie jest zainstalowane (Automatyczne)
  • 2.2 Usługi specjalnego przeznaczenia
  • 2.2.1 Synchronizacja czasu
  • 2.2.1.1 Upewnij się, że synchronizacja czasu jest używana (Automatyczne)
  • 2.2.1.2 Upewnij się, że systemd-timesyncd jest skonfigurowane (Ręczne)
  • 2.2.1.3 Upewnij się, że chrony jest skonfigurowane (Automatyczne)
  • 2.2.1.4 Upewnij się, że ntp jest skonfigurowane (Automatyczne)
  • 2.2.2 Upewnij się, że system X Window nie jest zainstalowany (Automatyczne)
  • 2.2.3 Upewnij się, że serwer Avahi nie jest zainstalowany (Automatyczne)
  • 2.2.4 Upewnij się, że CUPS nie jest zainstalowany (Automatyczne)
  • 2.2.5 Upewnij się, że serwer DHCP nie jest zainstalowany (Automatyczne)
  • 2.2.6 Upewnij się, że serwer LDAP nie jest zainstalowany (Automatyczne)
  • 2.2.7 Upewnij się, że NFS nie jest zainstalowane (Automatyczne)
  • 2.2.8 Upewnij się, że serwer DNS nie jest zainstalowany (Automatyczne)
  • 2.2.9 Upewnij się, że serwer FTP nie jest zainstalowany (Automatyczne)
  • 2.2.10 Upewnij się, że serwer HTTP nie jest zainstalowany (Automatyczne)
  • 2.2.11 Upewnij się, że serwery IMAP i POP3 nie są zainstalowane (Automatyczne)
  • 2.2.12 Upewnij się, że Samba nie jest zainstalowana (Automatyczne)
  • 2.2.13 Upewnij się, że serwer proxy HTTP nie jest zainstalowany (Automatyczne)
  • 2.2.14 Upewnij się, że serwer SNMP nie jest zainstalowany (Automatyczne)
  • 2.2.15 Upewnij się, że agent przesyłania wiadomości jest skonfigurowany w trybie lokalnym - (Automatyczne)
  • 2.2.16 Upewnij się, że usługa rsync nie jest zainstalowana (Automatyczne)
  • 2.2.17 Upewnij się, że serwer NIS nie jest zainstalowany (Automatyczne)

2.3 Klienci usług

  • 2.3.1 Upewnij się, że klient NIS nie jest zainstalowany (Automatyczne)
  • 2.3.2 Upewnij się, że klient rsh nie jest zainstalowany (Automatyczne)
  • 2.3.3 Upewnij się, że klient talk nie jest zainstalowany (Automatyczne)
  • 2.3.4 Upewnij się, że klient telnet nie jest zainstalowany (Automatyczne)
  • 2.3.5 Upewnij się, że klient LDAP nie jest zainstalowany (Automatyczne)
  • 2.3.6 Upewnij się, że RPC nie jest zainstalowane (Automatyczne)
  • 2.4 Upewnij się, że usługi nieistotne są usunięte lub zamaskowane (Ręczne)

3 Konfiguracja sieci

  • 3.1 Wyłącz nieużywane protokoły i urządzenia sieciowe
  • 3.1.1 Wyłącz IPv6 (Ręczne)
  • 3.1.2 Upewnij się, że interfejsy bezprzewodowe są wyłączone (Automatyczne)

3.2 Parametry sieci (tylko host)

  • 3.2.1 Upewnij się, że wysyłanie przekierowań pakietów jest wyłączone (Automatyczne)
  • 3.2.2 Upewnij się, że przepuszczanie IP jest wyłączone (Automatyczne)

3.3 Parametry sieci (host i router)

  • 3.3.1 Upewnij się, że pakiety przekierowywane źródłowo nie są akceptowane (Automatyczne)
  • 3.3.2 Upewnij się, że przekierowania ICMP nie są akceptowane (Automatyczne)
  • 3.3.3 Upewnij się, że bezpieczne przekierowania ICMP nie są akceptowane (Automatyczne)
  • 3.3.4 Upewnij się, że podejrzane pakiety są rejestrowane (Automatyczne)
  • 3.3.5 Upewnij się, że żądania ICMP z rozgłoszeniem są ignorowane (Automatyczne)
  • 3.3.6 Upewnij się, że fałszywe odpowiedzi ICMP są ignorowane (Automatyczne)
  • 3.3.7 Upewnij się, że filtracja połączeń zwrotnych jest włączona (Automatyczne)
  • 3.3.8 Upewnij się, że pliki cookie TCP SYN są włączone (Automatyczne)
  • 3.3.9 Upewnij się, że ogłoszenia routerów IPv6 nie są akceptowane (Automatyczne)

3.4 Niestandardowe protokoły sieciowe

  • 3.4.1 Upewnij się, że DCCP jest wyłączony (Automatyczne)
  • 3.4.2 Upewnij się, że SCTP jest wyłączony (Automatyczne)
  • 3.4.3 Upewnij się, że RDS jest wyłączony (Automatyczne)
  • 3.4.4 Upewnij się, że TIPC jest wyłączony (Automatyczne)

3.5 Konfiguracja zapory

  • 3.5.1 Skonfiguruj UncomplicatedFirewall
  • 3.5.1.1 Upewnij się, że Uncomplicated Firewall jest zainstalowany (Automatyczne)
  • 3.5.1.2 Upewnij się, że iptables-persistent nie jest zainstalowane (Automatyczne)
  • 3.5.1.3 Upewnij się, że usługa ufw jest włączona (Automatyczne)
  • 3.5.1.4 Upewnij się, że ruch w pętli zwrotnej jest skonfigurowany (Automatyczne)
  • 3.5.1.5 Upewnij się, że połączenia wychodzące są skonfigurowane (Ręczne)
  • 3.5.1.6 Upewnij się, że zasady zapory istnieją dla wszystkich otwartych portów (Ręczne)
  • 3.5.1.7 Upewnij się, że domyślna polityka odrzucająca zapory jest włączona (Automatyczne)

4 Rejestrowanie i audyt

  • 4.1 Skonfiguruj system rachunkowości (auditd)
  • 4.1.1 Upewnij się, że audyt jest włączony
  • 4.1.1.1 Upewnij się, że auditd jest zainstalowany (Automatyczne)
  • 4.1.1.2 Upewnij się, że usługa auditd jest włączona (Automatyczne)
  • 4.1.1.3 Upewnij się, że audyt dotyczący procesów, które zaczynają się przed auditd jest - włączony (Automatyczne)
  • 4.1.1.4 Upewnij się, że audit_backlog_limit jest odpowiedni (Automatyczne)
  • 4.1.2 Skonfiguruj retencję danych
  • 4.1.2.1 Upewnij się, że rozmiar pamięci dla logów audytowych jest skonfigurowany (Automatyczne)
  • 4.1.2.2 Upewnij się, że logi audytowe nie są usuwane automatycznie (Automatyczne)
  • 4.1.2.3 Upewnij się, że system jest wyłączany, gdy logi audytowe są pełne - (Automatyczne)
  • 4.1.3 Upewnij się, że wydarzenia, które modyfikują datę i czas są - zbierane (Automatyczne)
  • 4.1.4 Upewnij się, że wydarzenia modyfikujące informacje o użytkowniku/grupie są zbierane - (Automatyczne)
  • 4.1.5 Upewnij się, że wydarzenia modyfikujące środowisko sieciowe systemu są - zbierane (Automatyczne)
  • 4.1.6 Upewnij się, że wydarzenia modyfikujące obowiązkowe kontrole dostępu systemu są zbierane (Automatyczne)
  • 4.1.7 Upewnij się, że wydarzenia logowania i wylogowania są zbierane (Automatyczne)
  • 4.1.8 Upewnij się, że informacje o inicjacji sesji są zbierane (Automatyczne)
  • 4.1.9 Upewnij się, że zdarzenia dotyczące modyfikacji uprawnień dostępu są zbierane (Automatyczne)
  • 4.1.10 Upewnij się, że nieudane nieautoryzowane próby dostępu do plików są - zbierane (Automatyczne)
  • 4.1.11 Upewnij się, że użycie poleceń uprzywilejowanych jest zbierane (Automatyczne)
  • 4.1.12 Upewnij się, że pomyślne montowanie systemu plików jest zbierane (Automatyczne)
  • 4.1.13 Upewnij się, że zdarzenia usuwania plików przez użytkowników są zbierane (Automatyczne)
  • 4.1.14 Upewnij się, że zmiany w zakresie administracji systemu (sudoers) są - zbierane (Automatyczne)
  • 4.1.15 Upewnij się, że wykonywanie poleceń administratora systemu (sudo) jest - zbierane (Automatyczne)
  • 4.1.16 Upewnij się, że ładowanie i wyładowywanie modułów jądra jest zbierane - (Automatyczne)
  • 4.1.17 Upewnij się, że konfiguracja audytu jest niezmienna (Automatyczne)

4.2 Skonfiguruj rejestrowanie

  • 4.2.1 Skonfiguruj rsyslog
  • 4.2.1.1 Upewnij się, że rsyslog jest zainstalowane (Automatyczne)
  • 4.2.1.2 Upewnij się, że usługa rsyslog jest włączona (Automatyczne)
  • 4.2.1.3 Upewnij się, że rejestrowanie jest skonfigurowane (Ręczne)
  • 4.2.1.4 Upewnij się, że domyślne uprawnienia plików rsyslog są skonfigurowane - (Automatyczne)
  • 4.2.1.5 Upewnij się, że rsyslog jest skonfigurowany do przesyłania logów do zdalnego hosta logującego (Automatyczne)
  • 4.2.1.6 Upewnij się, że zdalne wiadomości rsyslog są akceptowane tylko na wyznaczonych hostach logujących. (Ręczne)
  • 4.2.2 Skonfiguruj journald
  • 4.2.2.1 Upewnij się, że journald jest skonfigurowany do przesyłania logów do rsyslog - (Automatyczne)
  • 4.2.2.2 Upewnij się, że journald jest skonfigurowany do kompresowania dużych plików dzienników - (Automatyczne)
  • 4.2.2.3 Upewnij się, że journald jest skonfigurowany do pisania plików dzienników na - pamięć trwałą (Automatyczne)
  • 4.2.3 Upewnij się, że uprawnienia do wszystkich plików dziennika są skonfigurowane (Automatyczne)
  • 4.3 Upewnij się, że logrotate jest skonfigurowany (Ręczne)
  • 4.4 Upewnij się, że logrotate przypisuje odpowiednie uprawnienia (Automatyczne)

5 Dostęp, uwierzytelnianie i autoryzacja

  • 5.1 Skonfiguruj harmonogramy zadań opartych na czasie
  • 5.1.1 Upewnij się, że demon cron jest włączony i działa (Automatyczne)
  • 5.1.2 Upewnij się, że uprawnienia do /etc/crontab są skonfigurowane (Automatyczne)
  • 5.1.3 Upewnij się, że uprawnienia do /etc/cron.hourly są skonfigurowane - (Automatyczne)
  • 5.1.4 Upewnij się, że uprawnienia do /etc/cron.daily są skonfigurowane - (Automatyczne)
  • 5.1.5 Upewnij się, że uprawnienia do /etc/cron.weekly są skonfigurowane - (Automatyczne)
  • 5.1.6 Upewnij się, że uprawnienia do /etc/cron.monthly są skonfigurowane - (Automatyczne)
  • 5.1.7 Upewnij się, że uprawnienia do /etc/cron.d są skonfigurowane (Automatyczne)
  • 5.1.8 Upewnij się, że cron jest ograniczony do autoryzowanych użytkowników (Automatyczne)
  • 5.1.9 Upewnij się, że at jest ograniczony do autoryzowanych użytkowników (Automatyczne)

5.2 Skonfiguruj serwer SSH

  • 5.2.1 Upewnij się, że uprawnienia do /etc/ssh/sshd_config są skonfigurowane - (Automatyczne)
  • 5.2.2 Upewnij się, że uprawnienia do prywatnych kluczy hosta SSH są - skonfigurowane (Automatyczne)
  • 5.2.3 Upewnij się, że uprawnienia do publicznych kluczy hosta SSH są skonfigurowane - (Automatyczne)
  • 5.2.4 Upewnij się, że poziom logowania SSH jest odpowiedni (Automatyczne)
  • 5.2.5 Upewnij się, że przekazywanie X11 SSH jest wyłączone (Automatyczne)
  • 5.2.6 Upewnij się, że SSH MaxAuthTries jest ustawione na 4 lub mniej (Automatyczne)
  • 5.2.7 Upewnij się, że SSH IgnoreRhosts jest włączone (Automatyczne)
  • 5.2.8 Upewnij się, że SSH HostbasedAuthentication jest wyłączone (Automatyczne)
  • 5.2.9 Upewnij się, że logowanie jako root przez SSH jest wyłączone (Automatyczne)
  • 5.2.10 Upewnij się, że SSH PermitEmptyPasswords jest wyłączone (Automatyczne)
  • 5.2.11 Upewnij się, że SSH PermitUserEnvironment jest wyłączone (Automatyczne)
  • 5.2.12 Upewnij się, że używane są tylko silne algorytmy szyfrowania (Automatyczne)
  • 5.2.13 Upewnij się, że używane są tylko silne algorytmy MAC (Automatyczne)
  • 5.2.14 Upewnij się, że używane są tylko silne algorytmy wymiany kluczy - (Automatyczne)
  • 5.2.15 Upewnij się, że konfiguracja maksymalnego czasu bezczynności SSH jest skonfigurowana (Automatyczne)
  • 5.2.16 Upewnij się, że SSH LoginGraceTime jest ustawione na jedną minutę lub mniej - (Automatyczne)
  • 5.2.17 Upewnij się, że dostęp SSH jest ograniczony (Automatyczne)
  • 5.2.18 Upewnij się, że baner ostrzegawczy SSH jest skonfigurowany (Automatyczne)
  • 5.2.19 Upewnij się, że SSH PAM jest włączone (Automatyczne)
  • 5.2.20 Upewnij się, że SSH AllowTcpForwarding jest wyłączone (Automatyczne)
  • 5.2.21 Upewnij się, że SSH MaxStartups jest skonfigurowane (Automatyczne)
  • 5.2.22 Upewnij się, że SSH MaxSessions jest ograniczone (Automatyczne)

5.3 Skonfiguruj PAM

  • 5.3.1 Upewnij się, że wymagania dotyczące tworzenia haseł są skonfigurowane - (Automatyczne)
  • 5.3.2 Upewnij się, że blokowanie przy nieudanych próbach hasła jest skonfigurowane - (Automatyczne)
  • 5.3.3 Upewnij się, że ponowne użycie haseł jest ograniczone (Automatyczne)
  • 5.3.4 Upewnij się, że algorytm haszowania haseł to SHA-512 (Automatyczne)

5.4 Konta użytkowników i środowisko

  • 5.4.1 Ustaw parametry Shadow Password Suite
  • 5.4.1.1 Upewnij się, że wygasanie haseł wynosi 365 dni lub mniej (Automatyczne)
  • 5.4.1.2 Upewnij się, że minimalna liczba dni między zmianami hasła jest skonfigurowana - (Automatyczne)
  • 5.4.1.3 Upewnij się, że dni ostrzegania o wygaśnięciu hasła wynoszą 7 lub więcej - (Automatyczne)
  • 5.4.1.4 Upewnij się, że nieaktywne hasło blokowane jest po 30 dniach lub mniej (Automatyczne)
  • 5.4.1.5 Upewnij się, że data ostatniej zmiany hasła dla wszystkich użytkowników jest w przeszłości - (Automatyczne)
  • 5.4.2 Upewnij się, że konta systemowe są zabezpieczone (Automatyczne)
  • 5.4.3 Upewnij się, że domyślna grupa dla konta root to GID 0 (Automatyczne)
  • 5.4.4 Upewnij się, że domyślny umask dla użytkowników to 027 lub bardziej restrykcyjny - (Automatyczne)
  • 5.4.5 Upewnij się, że domyślne ograniczenie czasu powłoki dla użytkowników wynosi 900 sekund lub mniej - (Automatyczne)
  • 5.5 Upewnij się, że logowanie jako root jest ograniczone do konsoli systemowej (Ręczne)
  • 5.6 Upewnij się, że dostęp do polecenia su jest ograniczony (Automatyczne)

6 Utrzymanie systemu

  • 6.1 Uprawnienia do plików systemowych
  • 6.1.1 Audyt uprawnień plików systemowych (Ręczne)
  • 6.1.2 Upewnij się, że uprawnienia do /etc/passwd są skonfigurowane (Automatyczne)
  • 6.1.3 Upewnij się, że uprawnienia do /etc/gshadow- są skonfigurowane (Automatyczne)
  • 6.1.4 Upewnij się, że uprawnienia do /etc/shadow są skonfigurowane (Automatyczne)
  • 6.1.5 Upewnij się, że uprawnienia do /etc/group są skonfigurowane (Automatyczne)
  • 6.1.6 Upewnij się, że uprawnienia do /etc/passwd- są skonfigurowane (Automatyczne)
  • 6.1.7 Upewnij się, że uprawnienia do /etc/shadow- są skonfigurowane (Automatyczne)
  • 6.1.8 Upewnij się, że uprawnienia do /etc/group- są skonfigurowane (Automatyczne)
  • 6.1.9 Upewnij się, że uprawnienia do /etc/gshadow są skonfigurowane (Automatyczne)
  • 6.1.10 Upewnij się, że nie ma plików zapisywalnych dla wszystkich (Automatyczne)
  • 6.1.11 Upewnij się, że nie ma plików lub katalogów bez właściciela (Automatyczne)
  • 6.1.12 Upewnij się, że nie ma plików lub katalogów bez grupy (Automatyczne)
  • 6.1.13 Audyt wykonawczy SUID (Ręczne)
  • 6.1.14 Audyt wykonawczy SGID (Ręczne)

6.2 Ustawienia użytkowników i grup

  • 6.2.1 Upewnij się, że pola haseł nie są puste (Automatyczne)
  • 6.2.2 Upewnij się, że root jest jedynym kontem UID 0 (Automatyczne)
  • 6.2.3 Upewnij się, że integralność ścieżki roota jest zachowana (Automatyczne)
  • 6.2.4 Upewnij się, że wszystkie katalogi domowe użytkowników istnieją (Automatyczne)
  • 6.2.5 Upewnij się, że uprawnienia do katalogów domowych użytkowników wynoszą 750 lub bardziej restrykcyjne - (Automatyczne)
  • 6.2.6 Upewnij się, że użytkownicy są właścicielami swoich katalogów domowych (Automatyczne)
  • 6.2.7 Upewnij się, że pliki typu dot użytkowników nie są zapisywalne dla grupy lub wszystkich - (Automatyczne)
  • 6.2.8 Upewnij się, że żaden użytkownik nie ma plików .forward (Automatyczne)
  • 6.2.9 Upewnij się, że żaden użytkownik nie ma plików .netrc (Automatyczne)
  • 6.2.10 Upewnij się, że pliki .netrc użytkowników nie są dostępne dla grupy lub wszystkich - (Automatyczne)
  • 6.2.11 Upewnij się, że żaden użytkownik nie ma plików .rhosts (Automatyczne)
  • 6.2.12 Upewnij się, że wszystkie grupy w /etc/passwd istnieją w /etc/group - (Automatyczne)
  • 6.2.13 Upewnij się, że nie istnieją duplikaty UID (Automatyczne)
  • 6.2.14 Upewnij się, że nie istnieją duplikaty GID (Automatyczne)
  • 6.2.15 Upewnij się, że nie istnieją duplikaty nazw użytkowników (Automatyczne)
  • 6.2.16 Upewnij się, że nie istnieją duplikaty nazw grup (Automatyczne)
  • 6.2.17 Upewnij się, że grupa shadow jest pusta (Automatyczne)

Licencja

BSD

Informacje o autorze

Gdy chcesz przyczynić się do tego repozytorium, najpierw omów zmianę, którą chcesz wprowadzić, za pośrednictwem problemu w GitHub, e-maila lub innych kanałów ze mną :)

O projekcie

DevOps

role ansible automation cis cisecurity hardening linux secure security ubuntu
Zainstaluj
ansible-galaxy install smith193_cruk.cis_ubuntu_20_04_ansible
GitHub repozytorium
1 gwiazdki
0 forki
0 otwarte zgłoszenia
Licencja
gpl-3.0
Pobrania
132
Właściciel