linux_armour

Ansible Роль: osm_linux_armour

Эта роль Ansible предназначена для аудита Ubuntu в соответствии с рекомендациями CIS.

Сервисы Проверки
1. Специальные службы Убедитесь, что Avahi, DHCP и LDAP сервер не включены
2. Клиент службы Убедитесь, что rsh, telnet и LDAP клиент не установлены
3. Службы inetd Убедитесь, что сервер telnet, ненужные услуги и сервер rsh не установлены
4. Журналирование и аудит auditd установлен и включён, размер хранения аудиторских журналов, система отключается, когда журналы аудита заполняются, журналы не удаляются автоматически, события входа и выхода собираются, информация о начале сессии собирается
5. Конфигурация файловой системы Отключите неиспользуемые файловые системы, убедитесь, что бит «sticky» установлен на всех каталогах, доступных для записи для всех (используйте аргумент исполняемого файла: /bin/bash в случае ошибки), отключите автоматическое монтирование.
6. Разрешения файлов системы Убедитесь, что passwd, passwd-, group, group-, shadow, shadow-, gshadow, gshadow- настроены
7. Проверка целостности файловой системы Убедитесь, что целостность файловой системы регулярно проверяется
8. Дополнительная защита процессов Убедитесь, что дампы памяти ограничены и предлинкование отключено
9. Настройка сети хоста Убедитесь, что пересылка IP, отправка перенаправлений пакетов отключена, и подозрительные пакеты регистрируются
10. Настройка сети хоста и маршрутизатора Убедитесь, что недействительные ICMP ответы игнорируются, включена фильтрация обратного пути и включены TCP SYN Cookies
11. TCP Wrapper Убедитесь, что разрешения на /etc/hosts.allow и /etc/hosts.deny настроены
12. Необычные сетевые протоколы Убедитесь, что DCCP и SCTP отключены
13. Настройки безопасной загрузки Убедитесь, что разрешения на конфигурацию загрузчика настроены и требуется аутентификация для однопользовательского режима
14. Обязательный контроль доступа Проверяет статус и обеспечивает отсутствие установки SETroubleshoot, если он включен

История версий

Дата Версия Описание Изменено
27 февр. v0.0.1 Укрепление ОС (ubuntu) на основе основных (очков) рекомендаций CIS Анжали Сингх
08 авг. v0.0.2 Добавлена поддержка CentOS Анжали Сингх

Основные функции

  • Эта роль настраивает ОС на основе основных рекомендаций CIS.

Поддерживаемые ОС

  • Ubuntu:bionic
  • CentOS:8

Зависимости

  • Python должен быть установлен на тестовом сервере.

Переменные роли

Существуют два типа переменных: обязательные и дополнительные. Обязательные переменные должны быть настроены в соответствии с рекомендациями CIS, а дополнительные переменные зависят от используемой службы. Их можно включать или отключать в зависимости от требований.

Обязательные переменные

Переменные Значения по умолчанию Описание
Разрешения_Файлов_Системы host.conf, hostname, hosts, hosts.allow, hosts.deny, passwd, passwd-, shadow, shadow-, gshadow, gshadow-, group, group- Специальные файлы, разрешения которых будут изменены.
os_packages_clean true Устаревшие пакеты удаляются
os_packages_list xinetd, inetd, ypserv, telnet-server, telnet-client, rsh-server, rsh-client, prelink, openldap-clients, openldap2-client, ldap-utils Отключите эти службы, если они не нужны
audit_package auditd Используется для ведения записи всех журналов

Дополнительные переменные

Переменные Дополнительные значения Описание
os_services_name avahi-daemon, dhcpd, slapd, named Специальные службы, которые можно остановить, если они не нужны
audit_max_log_file 5 Количество файлов журналов, которые необходимо сохранить
os_audit_max_log_file_action keep_logs Чтобы сохранить журналы

Инвентарь

Инвентарь должен выглядеть так:

[osconfig]                 
192.168.1.198    ansible_user=ubuntu    

Пример плейбука

  • Вот пример плейбука :-
---
- name: Аудит ОС
  hosts: osconfig
  become: true
  roles:
    - role: osm_linux_armour

Предлагаемые изменения в будущем

Будут обновлены в соответствии с рекомендациями CIS 2020 года.

Ссылки

Информация об авторе

О проекте

CIS benchmark for Linux

Установить
ansible-galaxy install OT-OSM/linux_armour
Лицензия
Unknown
Загрузки
312
Владелец