Ubuntu1604-CIS

Обзор Версии Аналитика

Ubuntu 16.04 CIS STIG

Статус сборки Ansible Роль

Настройте машину Ubuntu 16.04 для соответствия стандартам CIS. По умолчанию будет исправлено множество проблем уровня 1 и 2.

Эта роль внесет изменения в систему, которые могут привести к сбоям. Это не инструмент для аудита, а скорее инструмент для устранения проблем, используемый после проведения аудита.

ВАЖНЫЙ ЭТАП УСТАНОВКИ

Если вы хотите установить это с помощью команды ansible-galaxy, выполните её следующим образом:

ansible-galaxy install -p roles -r requirements.yml

Содержимое файла requirements.yml:

- src: https://github.com/florianutz/Ubuntu1604-CIS.git

На основании CIS Ubuntu Бенчмарка v1.1.0 - 28-12-2017.

Этот репозиторий возник в результате работы MindPointGroup.

Требования

Вам следует внимательно ознакомиться с задачами, чтобы убедиться, что эти изменения не приведут к сбоям в вашей системе перед запуском этого плейбука.

Переменные роли

Существует множество переменных роли, определенных в defaults/main.yml. Этот список показывает самые важные.

ubuntu1604cis_notauto: Запуск CIS-проверок, которые мы обычно НЕ хотим автоматизировать из-за высокой вероятности нарушения работы системы (По умолчанию: ложь)

ubuntu1604cis_section1: CIS - Общие настройки (Раздел 1) (По умолчанию: правда)

ubuntu1604cis_section2: CIS - Настройки служб (Раздел 2) (По умолчанию: правда)

ubuntu1604cis_section3: CIS - Настройки сети (Раздел 3) (По умолчанию: правда)

ubuntu1604cis_section4: CIS - Настройки ведения регистраций и аудита (Раздел 4) (По умолчанию: правда)

ubuntu1604cis_section5: CIS - Настройки доступа, аутентификации и авторизации (Раздел 5) (По умолчанию: правда)

ubuntu1604cis_section6: CIS - Настройки обслуживания системы (Раздел 6) (По умолчанию: правда)

Отключить все функции selinux

ubuntu1604cis_selinux_disable: ложь

Переменные службы:
Эти переменные контролируют, может ли сервер продолжать запуск этих служб или нет.
ubuntu1604cis_avahi_server: ложь  
ubuntu1604cis_cups_server: ложь  
ubuntu1604cis_dhcp_server: ложь  
ubuntu1604cis_ldap_server: ложь  
ubuntu1604cis_telnet_server: ложь  
ubuntu1604cis_nfs_server: ложь  
ubuntu1604cis_rpc_server: ложь  
ubuntu1604cis_ntalk_server: ложь  
ubuntu1604cis_rsyncd_server: ложь  
ubuntu1604cis_tftp_server: ложь  
ubuntu1604cis_rsh_server: ложь  
ubuntu1604cis_nis_server: ложь  
ubuntu1604cis_snmp_server: ложь  
ubuntu1604cis_squid_server: ложь  
ubuntu1604cis_smb_server: ложь  
ubuntu1604cis_dovecot_server: ложь  
ubuntu1604cis_httpd_server: ложь  
ubuntu1604cis_vsftpd_server: ложь  
ubuntu1604cis_named_server: ложь  
ubuntu1604cis_bind: ложь  
ubuntu1604cis_vsftpd: ложь  
ubuntu1604cis_httpd: ложь  
ubuntu1604cis_dovecot: ложь  
ubuntu1604cis_samba: ложь  
ubuntu1604cis_squid: ложь  
ubuntu1604cis_net_snmp: ложь
Определить сервер как почтовый сервер

ubuntu1604cis_is_mail_server: ложь

Параметры сетевой системы (только хост ИЛИ хост и маршрутизатор)

ubuntu1604cis_is_router: ложь

Требуется IPv6

ubuntu1604cis_ipv6_required: правда

AIDE

ubuntu1604cis_config_aide: правда

Настройки cron для AIDE
ubuntu1604cis_aide_cron:
  cron_user: root
  cron_file: /etc/crontab
  aide_job: '/usr/sbin/aide --check'
  aide_minute: 0
  aide_hour: 5
  aide_day: '*'
  aide_month: '*'
  aide_weekday: '*'
Политика SELinux

ubuntu1604cis_selinux_pol: targeted

Установите 'true', если X Windows необходим в вашей среде

ubuntu1604cis_xwindows_required: нет

Требования к клиентским приложениям
ubuntu1604cis_openldap_clients_required: ложь
ubuntu1604cis_telnet_required: ложь
ubuntu1604cis_talk_required: ложь  
ubuntu1604cis_rsh_required: ложь
ubuntu1604cis_ypbind_required: ложь
Синхронизация времени
ubuntu1604cis_time_synchronization: chrony
ubuntu1604cis_time_Synchronization: ntp

ubuntu1604cis_time_synchronization_servers:
    - 0.pool.ntp.org
    - 1.pool.ntp.org
    - 2.pool.ntp.org
    - 3.pool.ntp.org
3.4.2 | ПАТЧ | Убедитесь, что /etc/hosts.allow настроен
ubuntu1604cis_host_allow:
  - "10.0.0.0/255.0.0.0"  
  - "172.16.0.0/255.240.0.0"  
  - "192.168.0.0/255.255.0.0"    

ubuntu1604cis_firewall: firewalld
ubuntu1604cis_firewall: iptables

Зависимости

Ansible > 2.2

Пример плейбука

- name: Укрепить сервер
  hosts: servers
  become: yes

  roles:
    - Ubuntu1604-CIS

Теги

Доступно много тегов для точного контроля того, что изменяется, а что нет.

Некоторые примеры использования тегов:

    # Аудит и патч сайта
    ansible-playbook site.yml --tags="patch"

Лицензия

MIT

О проекте

Ansible role to apply Ubuntu 16.04 CIS Baseline

role cis hardening security system
Установить
ansible-galaxy install florianutz/Ubuntu1604-CIS
GitHub репозиторий
89 звезд(ы)
52 форк(ов)
13 открытых задач
Лицензия
mit
Загрузки
17570
Владелец