opstree_devops.linux_armour
Ansible Роль: osm_linux_armour
Эта роль Ansible предназначена для аудита Ubuntu в соответствии с рекомендациями CIS.
| № | Сервисы | Проверки |
|---|---|---|
| 1. | Специальные службы | Убедитесь, что Avahi, DHCP и LDAP сервер не включены |
| 2. | Клиент службы | Убедитесь, что rsh, telnet и LDAP клиент не установлены |
| 3. | Службы inetd | Убедитесь, что сервер telnet, ненужные услуги и сервер rsh не установлены |
| 4. | Журналирование и аудит | auditd установлен и включён, размер хранения аудиторских журналов, система отключается, когда журналы аудита заполняются, журналы не удаляются автоматически, события входа и выхода собираются, информация о начале сессии собирается |
| 5. | Конфигурация файловой системы | Отключите неиспользуемые файловые системы, убедитесь, что бит «sticky» установлен на всех каталогах, доступных для записи для всех (используйте аргумент исполняемого файла: /bin/bash в случае ошибки), отключите автоматическое монтирование. |
| 6. | Разрешения файлов системы | Убедитесь, что passwd, passwd-, group, group-, shadow, shadow-, gshadow, gshadow- настроены |
| 7. | Проверка целостности файловой системы | Убедитесь, что целостность файловой системы регулярно проверяется |
| 8. | Дополнительная защита процессов | Убедитесь, что дампы памяти ограничены и предлинкование отключено |
| 9. | Настройка сети хоста | Убедитесь, что пересылка IP, отправка перенаправлений пакетов отключена, и подозрительные пакеты регистрируются |
| 10. | Настройка сети хоста и маршрутизатора | Убедитесь, что недействительные ICMP ответы игнорируются, включена фильтрация обратного пути и включены TCP SYN Cookies |
| 11. | TCP Wrapper | Убедитесь, что разрешения на /etc/hosts.allow и /etc/hosts.deny настроены |
| 12. | Необычные сетевые протоколы | Убедитесь, что DCCP и SCTP отключены |
| 13. | Настройки безопасной загрузки | Убедитесь, что разрешения на конфигурацию загрузчика настроены и требуется аутентификация для однопользовательского режима |
| 14. | Обязательный контроль доступа | Проверяет статус и обеспечивает отсутствие установки SETroubleshoot, если он включен |
История версий
| Дата | Версия | Описание | Изменено |
|---|---|---|---|
| 27 февр. | v0.0.1 | Укрепление ОС (ubuntu) на основе основных (очков) рекомендаций CIS | Анжали Сингх |
| 08 авг. | v0.0.2 | Добавлена поддержка CentOS | Анжали Сингх |
Основные функции
- Эта роль настраивает ОС на основе основных рекомендаций CIS.
Поддерживаемые ОС
- Ubuntu:bionic
- CentOS:8
Зависимости
- Python должен быть установлен на тестовом сервере.
Переменные роли
Существуют два типа переменных: обязательные и дополнительные. Обязательные переменные должны быть настроены в соответствии с рекомендациями CIS, а дополнительные переменные зависят от используемой службы. Их можно включать или отключать в зависимости от требований.
Обязательные переменные
| Переменные | Значения по умолчанию | Описание |
|---|---|---|
| Разрешения_Файлов_Системы | host.conf, hostname, hosts, hosts.allow, hosts.deny, passwd, passwd-, shadow, shadow-, gshadow, gshadow-, group, group- | Специальные файлы, разрешения которых будут изменены. |
| os_packages_clean | true | Устаревшие пакеты удаляются |
| os_packages_list | xinetd, inetd, ypserv, telnet-server, telnet-client, rsh-server, rsh-client, prelink, openldap-clients, openldap2-client, ldap-utils | Отключите эти службы, если они не нужны |
| audit_package | auditd | Используется для ведения записи всех журналов |
Дополнительные переменные
| Переменные | Дополнительные значения | Описание |
|---|---|---|
| os_services_name | avahi-daemon, dhcpd, slapd, named | Специальные службы, которые можно остановить, если они не нужны |
| audit_max_log_file | 5 | Количество файлов журналов, которые необходимо сохранить |
| os_audit_max_log_file_action | keep_logs | Чтобы сохранить журналы |
Инвентарь
Инвентарь должен выглядеть так:
[osconfig]
192.168.1.198 ansible_user=ubuntu
Пример плейбука
- Вот пример плейбука :-
---
- name: Аудит ОС
hosts: osconfig
become: true
roles:
- role: osm_linux_armour
Предлагаемые изменения в будущем
Будут обновлены в соответствии с рекомендациями CIS 2020 года.
Ссылки
Информация об авторе
Установить
ansible-galaxy install opstree_devops.linux_armourЛицензия
Unknown
Загрузки
460
Владелец