linux_armour
Ansible Роль: osm_linux_armour
Эта роль Ansible предназначена для аудита Ubuntu в соответствии с рекомендациями CIS.
№ | Сервисы | Проверки |
---|---|---|
1. | Специальные службы | Убедитесь, что Avahi, DHCP и LDAP сервер не включены |
2. | Клиент службы | Убедитесь, что rsh, telnet и LDAP клиент не установлены |
3. | Службы inetd | Убедитесь, что сервер telnet, ненужные услуги и сервер rsh не установлены |
4. | Журналирование и аудит | auditd установлен и включён, размер хранения аудиторских журналов, система отключается, когда журналы аудита заполняются, журналы не удаляются автоматически, события входа и выхода собираются, информация о начале сессии собирается |
5. | Конфигурация файловой системы | Отключите неиспользуемые файловые системы, убедитесь, что бит «sticky» установлен на всех каталогах, доступных для записи для всех (используйте аргумент исполняемого файла: /bin/bash в случае ошибки), отключите автоматическое монтирование. |
6. | Разрешения файлов системы | Убедитесь, что passwd, passwd-, group, group-, shadow, shadow-, gshadow, gshadow- настроены |
7. | Проверка целостности файловой системы | Убедитесь, что целостность файловой системы регулярно проверяется |
8. | Дополнительная защита процессов | Убедитесь, что дампы памяти ограничены и предлинкование отключено |
9. | Настройка сети хоста | Убедитесь, что пересылка IP, отправка перенаправлений пакетов отключена, и подозрительные пакеты регистрируются |
10. | Настройка сети хоста и маршрутизатора | Убедитесь, что недействительные ICMP ответы игнорируются, включена фильтрация обратного пути и включены TCP SYN Cookies |
11. | TCP Wrapper | Убедитесь, что разрешения на /etc/hosts.allow и /etc/hosts.deny настроены |
12. | Необычные сетевые протоколы | Убедитесь, что DCCP и SCTP отключены |
13. | Настройки безопасной загрузки | Убедитесь, что разрешения на конфигурацию загрузчика настроены и требуется аутентификация для однопользовательского режима |
14. | Обязательный контроль доступа | Проверяет статус и обеспечивает отсутствие установки SETroubleshoot, если он включен |
История версий
Дата | Версия | Описание | Изменено |
---|---|---|---|
27 февр. | v0.0.1 | Укрепление ОС (ubuntu) на основе основных (очков) рекомендаций CIS | Анжали Сингх |
08 авг. | v0.0.2 | Добавлена поддержка CentOS | Анжали Сингх |
Основные функции
- Эта роль настраивает ОС на основе основных рекомендаций CIS.
Поддерживаемые ОС
- Ubuntu:bionic
- CentOS:8
Зависимости
- Python должен быть установлен на тестовом сервере.
Переменные роли
Существуют два типа переменных: обязательные и дополнительные. Обязательные переменные должны быть настроены в соответствии с рекомендациями CIS, а дополнительные переменные зависят от используемой службы. Их можно включать или отключать в зависимости от требований.
Обязательные переменные
Переменные | Значения по умолчанию | Описание |
---|---|---|
Разрешения_Файлов_Системы | host.conf, hostname, hosts, hosts.allow, hosts.deny, passwd, passwd-, shadow, shadow-, gshadow, gshadow-, group, group- | Специальные файлы, разрешения которых будут изменены. |
os_packages_clean | true | Устаревшие пакеты удаляются |
os_packages_list | xinetd, inetd, ypserv, telnet-server, telnet-client, rsh-server, rsh-client, prelink, openldap-clients, openldap2-client, ldap-utils | Отключите эти службы, если они не нужны |
audit_package | auditd | Используется для ведения записи всех журналов |
Дополнительные переменные
Переменные | Дополнительные значения | Описание |
---|---|---|
os_services_name | avahi-daemon, dhcpd, slapd, named | Специальные службы, которые можно остановить, если они не нужны |
audit_max_log_file | 5 | Количество файлов журналов, которые необходимо сохранить |
os_audit_max_log_file_action | keep_logs | Чтобы сохранить журналы |
Инвентарь
Инвентарь должен выглядеть так:
[osconfig]
192.168.1.198 ansible_user=ubuntu
Пример плейбука
- Вот пример плейбука :-
---
- name: Аудит ОС
hosts: osconfig
become: true
roles:
- role: osm_linux_armour
Предлагаемые изменения в будущем
Будут обновлены в соответствии с рекомендациями CIS 2020 года.
Ссылки
Информация об авторе
Установить
ansible-galaxy install OT-OSM/linux_armour
Лицензия
Unknown
Загрузки
312
Владелец