ubuntu2004_cis

Ubuntu 20.04 CIS STIG

Статус сборки Роль Ansible

Эта роль основана на миграции с версии 18.04. Задания имеют правильное содержание, но должны быть пересортированы для соответствия бенчмарку 20.04. Приветствуются вклады.

Настройте машину Ubuntu 20.04 для соответствия стандартам CIS. Результаты для уровней 1 и 2 будут откорректированы по умолчанию.

Эта роль внесет изменения в систему, которые могут привести к сбоям. Это не инструмент аудита, а инструмент для исправления, который используется после проведения аудита.

На основе CIS Ubuntu Linux 20.04 LTS Benchmark - v1.0.0 - 07-21-2020.

Отзывы

  • Если вам нравится наша работа, но вы не можете внести изменения в код роли самостоятельно, пожалуйста, потратьте время, чтобы оценить ее в Ansible Galaxy. Там вы можете легко оставить положительный отзыв разработчикам о их работе. Оценка сообщества Galaxy
  • Если вы нашли ошибку в роли, но не можете исправить ее сами, пожалуйста, создайте тикет с как можно большим количеством деталей. Пожалуйста, учитывайте, что все разработчики работают над проектом в свободное время, и может пройти некоторое время, прежде чем вы получите ответ. Страница проблем

ВАЖНЫЙ ШАГ УСТАНОВКИ

Если вы хотите установить это с помощью команды ansible-galaxy, выполните ее так:

ansible-galaxy install -p roles -r requirements.yml

При этом в файле requirements.yml должно быть записано:

- src: https://github.com/florianutz/ubuntu2004_cis.git

Пример плейбука

Вы можете найти пример плейбука ниже. Пожалуйста, прочитайте документацию и проверьте настройки для вашего случая. Например, настройки по умолчанию удаляют X сервер!

- name: Укрепление сервера
  hosts: servers
  become: yes

  roles:
    - ubuntu2004_cis

Чтобы запустить задания из этого репозитория, сначала создайте файл на уровень выше репозитория (т. е. файл плейбука .yml и директория ubuntu2004_cis должны находиться рядом друг с другом), затем просмотрите файл defaults/main.yml и отключите любые правила/разделы, которые вы не хотите выполнять.

Предполагая, что вы назвали файл site.yml, запустите его с помощью:

ansible-playbook site.yml

Требования

Вам следует внимательно ознакомиться с заданиями, чтобы убедиться, что эти изменения не сломают ваши системы перед запуском этого плейбука.

Переменные роли

В defaults/main.yml определено много переменных роли. Этот список показывает самые важные.

ubuntu2004cis_notauto: Выполнять проверки CIS, которые мы обычно НЕ хотим автоматизировать из-за высокой вероятности сбоя системы (По умолчанию: ложь)

ubuntu2004cis_section1: CIS - Общие настройки (Раздел 1) (По умолчанию: истина)

ubuntu2004cis_section2: CIS - Настройки служб (Раздел 2) (По умолчанию: истина)

ubuntu2004cis_section3: CIS - Сетевые настройки (Раздел 3) (По умолчанию: истина)

ubuntu2004cis_section4: CIS - Настройки ведения журналов и аудита (Раздел 4) (По умолчанию: истина)

ubuntu2004cis_section5: CIS - Настройки доступа, аутентификации и авторизации (Раздел 5) (По умолчанию: истина)

ubuntu2004cis_section6: CIS - Настройки обслуживания системы (Раздел 6) (По умолчанию: истина)

Отключить все функции SELinux

ubuntu2004cis_selinux_disable: false

Переменные службы

Эти переменные контролируют, может ли сервер продолжать работу этих служб или нет.

ubuntu2004cis_avahi_server: false  
ubuntu2004cis_cups_server: false  
ubuntu2004cis_dhcp_server: false  
ubuntu2004cis_ldap_server: false  
ubuntu2004cis_telnet_server: false  
ubuntu2004cis_nfs_server: false  
ubuntu2004cis_rpc_server: false  
ubuntu2004cis_ntalk_server: false  
ubuntu2004cis_rsyncd_server: false  
ubuntu2004cis_tftp_server: false  
ubuntu2004cis_rsh_server: false  
ubuntu2004cis_nis_server: false  
ubuntu2004cis_snmp_server: false  
ubuntu2004cis_squid_server: false  
ubuntu2004cis_smb_server: false  
ubuntu2004cis_dovecot_server: false  
ubuntu2004cis_httpd_server: false  
ubuntu2004cis_vsftpd_server: false  
ubuntu2004cis_named_server: false  
ubuntu2004cis_allow_autofs: false

Обозначьте сервер как почтовый сервер

ubuntu2004cis_is_mail_server: false

Параметры сетевой системы (только хост или хост и маршрутизатор)

ubuntu2004cis_is_router: false

Требуется поддержка IPv6

ubuntu2004cis_ipv6_required: true

AIDE

ubuntu2004cis_config_aide: true

Настройки cron для AIDE

ubuntu2004cis_aide_cron:
  cron_user: root
  cron_file: /etc/crontab
  aide_job: '/usr/sbin/aide --check'
  aide_minute: 0
  aide_hour: 5
  aide_day: '*'
  aide_month: '*'
  aide_weekday: '*'  

Установите значение 'true', если в вашей среде требуется X Windows

ubuntu2004cis_xwindows_required: no

Требования к клиентским приложениям

ubuntu2004cis_openldap_clients_required: false
ubuntu2004cis_telnet_required: false
ubuntu2004cis_talk_required: false  
ubuntu2004cis_rsh_required: false
ubuntu2004cis_ypbind_required: false
ubuntu2004cis_rpc_required: false

Синхронизация времени

ubuntu2004cis_time_synchronization: chrony
ubuntu2004cis_time_Synchronization: ntp

ubuntu2004cis_time_synchronization_servers:
  - uri: "0.pool.ntp.org"
    config: "minpoll 8"
  - uri: "1.pool.ntp.org"
    config: "minpoll 8"
  - uri: "2.pool.ntp.org"
    config: "minpoll 8"
  - uri: "3.pool.ntp.org"
    config: "minpoll 8"

- name: "ОЦЕНКА | 1.1.5 | РЕМОНТ | Убедитесь, что установлен параметр noexec для раздела /tmp"

Это не реализовано, noexec для /tmp будет мешать apt. /tmp содержит исполняемые скрипты во время установки пакетов.


1.5.3 | РЕМОНТ | Убедитесь, что для режима одного пользователя требуется аутентификация

Это отключено по умолчанию, так как устанавливает случайный пароль для root. Чтобы включить его, задайте:

ubuntu2004cis_rule_1_5_3: true

Чтобы использовать что-то другое, кроме случайного пароля:

ubuntu2004cis_root_password: 'новый пароль'
ubuntu2004cis_firewall: firewalld
ubuntu2004cis_firewall: iptables

5.3.1 | РЕМОНТ | Убедитесь, что конфигурация требований к созданию пароля настроена

ubuntu2004cis_pwquality:
  - key: 'minlen'
    value: '14'
  - key: 'dcredit'
    value: '-1'
  - key: 'ucredit'
    value: '-1'
  - key: 'ocredit'
    value: '-1'
  - key: 'lcredit'
    value: '-1'

Зависимости

Разработано и протестировано с Ansible 2.10

Теги

Для точного контроля того, что изменяется, доступны многие теги.

Примеры использования тегов:

    # Аудит и исправление сайта
    ansible-playbook site.yml --tags="patch"

Список рекомендаций:

1 Начальная настройка

  • 1.1 Настройка файловой системы
    • 1.1.1 Отключите неиспользуемые файловые системы
      • 1.1.1.1 Убедитесь, что монтирование файловых систем cramfs отключено (Автоматически)
      • 1.1.1.2 Убедитесь, что монтирование файловых систем freevxfs отключено - (Автоматически)
      • 1.1.1.3 Убедитесь, что монтирование файловых систем jffs2 отключено (Автоматически)
      • 1.1.1.4 Убедитесь, что монтирование файловых систем hfs отключено (Автоматически)
      • 1.1.1.5 Убедитесь, что монтирование файловых систем hfsplus отключено - (Автоматически)
      • 1.1.1.6 Убедитесь, что монтирование файловых систем udf отключено (Автоматически)
      • 1.1.1.7 Убедитесь, что монтирование файловых систем FAT ограничено (Вручную)
    • 1.1.2 Убедитесь, что /tmp настроен (Автоматически)
    • 1.1.3 Убедитесь, что установлен параметр nodev для раздела /tmp (Автоматически)
    • 1.1.4 Убедитесь, что установлен параметр nosuid для раздела /tmp (Автоматически)
    • 1.1.5 Убедитесь, что установлен параметр noexec для раздела /tmp (Автоматически)
    • 1.1.6 Убедитесь, что /dev/shm настроен (Автоматически)
    • 1.1.7 Убедитесь, что установлен параметр nodev для раздела /dev/shm (Автоматически)
    • 1.1.8 Убедитесь, что установлен параметр nosuid для раздела /dev/shm (Автоматически)
    • 1.1.9 Убедитесь, что установлен параметр noexec для раздела /dev/shm (Автоматически)
    • 1.1.10 Убедитесь, что существует отдельный раздел для /var (Автоматически)
    • 1.1.11 Убедитесь, что существует отдельный раздел для /var/tmp (Автоматически)
    • 1.1.12 Убедитесь, что установлен параметр nodev для раздела /var/tmp (Автоматически)
    • 1.1.13 Убедитесь, что установлен параметр nosuid для раздела /var/tmp (Автоматически)
    • 1.1.14 Убедитесь, что установлен параметр noexec для раздела /var/tmp (Автоматически)
    • 1.1.15 Убедитесь, что существует отдельный раздел для /var/log (Автоматически)
    • 1.1.16 Убедитесь, что существует отдельный раздел для /var/log/audit - (Автоматически)
    • 1.1.17 Убедитесь, что существует отдельный раздел для /home (Автоматически)
    • 1.1.18 Убедитесь, что установлен параметр nodev для раздела /home (Автоматически)
    • 1.1.19 Убедитесь, что установлен параметр nodev для разделов с съемными носителями (Вручную)
    • 1.1.20 Убедитесь, что установлен параметр nosuid для разделов с съемными носителями - (Вручную)
    • 1.1.21 Убедитесь, что установлен параметр noexec для разделов с съемными носителями - (Вручную)
    • 1.1.22 Убедитесь, что бит "sticky" установлен для всех каталогов, доступных для записи всем - (Автоматически)
    • 1.1.23 Отключите автоматическое монтирование (Автоматически)
    • 1.1.24 Отключите USB-накопители (Автоматически)
  • 1.2 Настройка обновлений программного обеспечения
    • 1.2.1 Убедитесь, что репозитории менеджера пакетов настроены (Вручную)
    • 1.2.2 Убедитесь, что GPG ключи настроены (Вручную)
  • 1.3 Настройте sudo
    • 1.3.1 Убедитесь, что sudo установлен (Автоматически)
    • 1.3.2 Убедитесь, что команды sudo используют pty (Автоматически)
    • 1.3.3 Убедитесь, что файл журнала sudo существует (Автоматически)
  • 1.4 Проверка целостности файловой системы
    • 1.4.1 Убедитесь, что AIDE установлен (Автоматически)
    • 1.4.2 Убедитесь, что целостность файловой системы регулярно проверяется (Автоматически)
  • 1.5 Настройки безопасной загрузки
    • 1.5.1 Убедитесь, что установлен пароль загрузчика (Автоматически)
    • 1.5.2 Убедитесь, что разрешения на конфигурацию загрузчика настроены - (Автоматически)
    • 1.5.3 Убедитесь, что для режима одного пользователя требуется аутентификация (Автоматически)
  • 1.6 Дополнительные меры защиты процессов
    • 1.6.1 Убедитесь, что поддержка XD/NX включена (Автоматически)
    • 1.6.2 Убедитесь, что включена рандомизация расположения адресного пространства (ASLR) - (Автоматически)
    • 1.6.3 Убедитесь, что предлинкование отключено (Автоматически)
    • 1.6.4 Убедитесь, что дампы ядра ограничены (Автоматически)
  • 1.7 Обязательный контроль доступа
    • 1.7.1 Настройте AppArmor
      • 1.7.1.1 Убедитесь, что AppArmor установлен (Автоматически)
      • 1.7.1.2 Убедитесь, что AppArmor включен в конфигурацию загрузчика - (Автоматически)
      • 1.7.1.3 Убедитесь, что все профили AppArmor находятся в режиме защиты или жалобы - (Автоматически)
      • 1.7.1.4 Убедитесь, что все профили AppArmor работают в режиме защиты (Автоматически)
  • 1.8 Предупреждающие баннеры
    • 1.8.1 Баннеры предупреждений в командной строке
      • 1.8.1.1 Убедитесь, что сообщение дня настроено правильно (Автоматически)
      • 1.8.1.2 Убедитесь, что локальный баннер предупреждения о входе настроен правильно - (Автоматически)
      • 1.8.1.3 Убедитесь, что удаленный баннер предупреждения о входе настроен правильно - (Автоматически)
      • 1.8.1.4 Убедитесь, что разрешения на /etc/motd настроены (Автоматически)
      • 1.8.1.5 Убедитесь, что разрешения на /etc/issue настроены (Автоматически)
      • 1.8.1.6 Убедитесь, что разрешения на /etc/issue.net настроены - (Автоматически)
  • 1.9 Убедитесь, что обновления, патчи и дополнительное программное обеспечение безопасности установлены (Вручную)
  • 1.10 Убедитесь, что GDM удален или вход настроен (Автоматически)

2 Сервисы

  • 2.1 Сервисы inetd
    • 2.1.1 Убедитесь, что xinetd не установлен (Автоматически)
    • 2.1.2 Убедитесь, что openbsd-inetd не установлен (Автоматически)
  • 2.2 Специальные службы
    • 2.2.1 Синхронизация времени
      • 2.2.1.1 Убедитесь, что используется синхронизация времени (Автоматически)
      • 2.2.1.2 Убедитесь, что systemd-timesyncd настроен (Вручную)
      • 2.2.1.3 Убедитесь, что chrony настроен (Автоматически)
      • 2.2.1.4 Убедитесь, что ntp настроен (Автоматически)
    • 2.2.2 Убедитесь, что система X Window не установлена (Автоматически)
    • 2.2.3 Убедитесь, что сервер Avahi не установлен (Автоматически)
    • 2.2.4 Убедитесь, что CUPS не установлен (Автоматически)
    • 2.2.5 Убедитесь, что DHCP сервер не установлен (Автоматически)
    • 2.2.6 Убедитесь, что LDAP сервер не установлен (Автоматически)
    • 2.2.7 Убедитесь, что NFS не установлен (Автоматически)
    • 2.2.8 Убедитесь, что DNS сервер не установлен (Автоматически)
    • 2.2.9 Убедитесь, что FTP сервер не установлен (Автоматически)
    • 2.2.10 Убедитесь, что HTTP сервер не установлен (Автоматически)
    • 2.2.11 Убедитесь, что серверы IMAP и POP3 не установлены (Автоматически)
    • 2.2.12 Убедитесь, что Samba не установлена (Автоматически)
    • 2.2.13 Убедитесь, что HTTP Proxy сервер не установлен (Автоматически)
    • 2.2.14 Убедитесь, что SNMP сервер не установлен (Автоматически)
    • 2.2.15 Убедитесь, что агент передачи почты настроен в режим локального - (Автоматически)
    • 2.2.16 Убедитесь, что служба rsync не установлена (Автоматически)
    • 2.2.17 Убедитесь, что NIS сервер не установлен (Автоматически)
  • 2.3 Клиенты служб
    • 2.3.1 Убедитесь, что клиент NIS не установлен (Автоматически)
    • 2.3.2 Убедитесь, что клиент rsh не установлен (Автоматически)
    • 2.3.3 Убедитесь, что клиент talk не установлен (Автоматически)
    • 2.3.4 Убедитесь, что клиент telnet не установлен (Автоматически)
    • 2.3.5 Убедитесь, что клиент LDAP не установлен (Автоматически)
    • 2.3.6 Убедитесь, что RPC не установлен (Автоматически)
  • 2.4 Убедитесь, что несущественные службы удалены или скрыты (Вручную)

3 Настройка сети

  • 3.1 Отключите неиспользуемые сетевые протоколы и устройства
    • 3.1.1 Отключите IPv6 (Вручную)
    • 3.1.2 Убедитесь, что беспроводные интерфейсы отключены (Автоматически)
  • 3.2 Параметры сети (только хост)
    • 3.2.1 Убедитесь, что пересылка пакетов отключена (Автоматически)
    • 3.2.2 Убедитесь, что пересылка IP отключена (Автоматически)
  • 3.3 Параметры сети (хост и маршрутизатор)
    • 3.3.1 Убедитесь, что пакеты с маршрутизацией источника не принимаются (Автоматически)
    • 3.3.2 Убедитесь, что перенаправления ICMP не принимаются (Автоматически)
    • 3.3.3 Убедитесь, что безопасные перенаправления ICMP не принимаются (Автоматически)
    • 3.3.4 Убедитесь, что подозрительные пакеты регистрируются (Автоматически)
    • 3.3.5 Убедитесь, что широковещательные запросы ICMP игнорируются (Автоматически)
    • 3.3.6 Убедитесь, что ложные ICMP-ответы игнорируются (Автоматически)
    • 3.3.7 Убедитесь, что включена фильтрация обратных маршрутов (Автоматически)
    • 3.3.8 Убедитесь, что TCP SYN Cookies включены (Автоматически)
    • 3.3.9 Убедитесь, что запросы маршрутизатора IPv6 не принимаются (Автоматически)
  • 3.4 Нестандартные сетевые протоколы
    • 3.4.1 Убедитесь, что DCCP отключен (Автоматически)
    • 3.4.2 Убедитесь, что SCTP отключен (Автоматически)
    • 3.4.3 Убедитесь, что RDS отключен (Автоматически)
    • 3.4.4 Убедитесь, что TIPC отключен (Автоматически)
  • 3.5 Настройка брандмауэра
    • 3.5.1 Настройте UncomplicatedFirewall
      • 3.5.1.1 Убедитесь, что Uncomplicated Firewall установлен (Автоматически)
      • 3.5.1.2 Убедитесь, что iptables-persistent не установлен (Автоматически)
      • 3.5.1.3 Убедитесь, что служба ufw включена (Автоматически)
      • 3.5.1.4 Убедитесь, что трафик петли настроен (Автоматически)
      • 3.5.1.5 Убедитесь, что исходящие соединения настроены (Вручную)
      • 3.5.1.6 Убедитесь, что правила брандмауэра существуют для всех открытых портов (Вручную)
      • 3.5.1.7 Убедитесь, что политика брандмауэра по умолчанию запрещает (Автоматически)
    • 3.5.2 Настройте nftables
      • 3.5.2.1 Убедитесь, что nftables установлен (Автоматически)
      • 3.5.2.2 Убедитесь, что Uncomplicated Firewall не установлен или отключен - (Автоматически)
      • 3.5.2.3 Убедитесь, что iptables очищены (Вручную)
      • 3.5.2.4 Убедитесь, что таблица существует (Автоматически)
      • 3.5.2.5 Убедитесь, что базовые цепочки существуют (Автоматически)
      • 3.5.2.6 Убедитесь, что трафик петли настроен (Автоматически)
      • 3.5.2.7 Убедитесь, что исходящие и установленные соединения настроены - (Вручную)
      • 3.5.2.8 Убедитесь, что политика брандмауэра по умолчанию запрещает (Автоматически)
      • 3.5.2.9 Убедитесь, что служба nftables включена (Автоматически)
      • 3.5.2.10 Убедитесь, что правила nftables постоянные (Автоматически)
    • 3.5.3 Настройте iptables
      • 3.5.3.1.1 Убедитесь, что пакеты iptables установлены (Автоматически)
      • 3.5.3.1.2 Убедитесь, что nftables не установлен (Автоматически)
      • 3.5.3.1.3 Убедитесь, что Uncomplicated Firewall не установлен или отключен - (Автоматически)
      • 3.5.3.2.1 Убедитесь, что политика брандмауэра по умолчанию запрещает (Автоматически)
      • 3.5.3.2.2 Убедитесь, что трафик петли настроен (Автоматически)
      • 3.5.3.2.3 Убедитесь, что исходящие и установленные соединения настроены - (Вручную)
      • 3.5.3.2.4 Убедитесь, что правила брандмауэра существуют для всех открытых портов (Автоматически)
      • 3.5.3.3.1 Убедитесь, что политика брандмауэра IPv6 по умолчанию запрещает (Автоматически)
      • 3.5.3.3.2 Убедитесь, что трафик петли IPv6 настроен (Автоматически)
      • 3.5.3.3.3 Убедитесь, что исходящие и установленные соединения IPv6 настроены - (Вручную)
      • 3.5.3.3.4 Убедитесь, что правила брандмауэра IPv6 существуют для всех открытых портов - (Вручную)

4 Ведение журнала и аудит

  • 4.1 Настройка учета системы (auditd)
    • 4.1.1 Убедитесь, что аудит включен
      • 4.1.1.1 Убедитесь, что auditd установлен (Автоматически)
      • 4.1.1.2 Убедитесь, что служба auditd включена (Автоматически)
      • 4.1.1.3 Убедитесь, что аудит для процессов, которые запускаются до auditd, включен (Автоматически)
      • 4.1.1.4 Убедитесь, что audit_backlog_limit достаточен (Автоматически)
    • 4.1.2 Настройка хранения данных
      • 4.1.2.1 Убедитесь, что размер хранения журналов аудита настроен (Автоматически)
      • 4.1.2.2 Убедитесь, что журналы аудита не удаляются автоматически (Автоматически)
      • 4.1.2.3 Убедитесь, что система отключена, когда журналы аудита заполнены - (Автоматически)
    • 4.1.3 Убедитесь, что события, изменяющие информацию о дате и времени, собираются (Автоматически)
    • 4.1.4 Убедитесь, что события, изменяющие информацию о пользователе/группе, собираются - (Автоматически)
    • 4.1.5 Убедитесь, что события, изменяющие сетевую среду системы, собираются - (Автоматически)
    • 4.1.6 Убедитесь, что события, изменяющие обязательные средства контроля доступа системы, собираются (Автоматически)
    • 4.1.7 Убедитесь, что события входа и выхода собираются (Автоматически)
    • 4.1.8 Убедитесь, что информация о начале сеанса собирается (Автоматически)
    • 4.1.9 Убедитесь, что события изменения разрешений на дискреционный доступ собираются (Автоматически)
    • 4.1.10 Убедитесь, что неудачные попытки несанкционированного доступа к файлам собираются (Автоматически)
    • 4.1.11 Убедитесь, что использование привилегированных команд собирается (Автоматически)
    • 4.1.12 Убедитесь, что успешные монтирования файловых систем собираются (Автоматически)
    • 4.1.13 Убедитесь, что события удаления файлов пользователями собираются (Автоматически)
    • 4.1.14 Убедитесь, что изменения в области администрирования системы (sudoers) собираются (Автоматически)
    • 4.1.15 Убедитесь, что выполнения команд системного администратора (sudo) собираются (Автоматически)
    • 4.1.16 Убедитесь, что загрузка и выгрузка модулей ядра собираются - (Автоматически)
    • 4.1.17 Убедитесь, что конфигурация аудита неизменна (Автоматически)
  • 4.2 Настройка ведения журнала
    • 4.2.1 Настройка rsyslog
      • 4.2.1.1 Убедитесь, что rsyslog установлен (Автоматически)
      • 4.2.1.2 Убедитесь, что служба rsyslog включена (Автоматически)
      • 4.2.1.3 Убедитесь, что ведение журнала настроено (Вручную)
      • 4.2.1.4 Убедитесь, что разрешения по умолчанию для файлов rsyslog настроены - (Автоматически)
      • 4.2.1.5 Убедитесь, что rsyslog настроен для отправки журналов на удаленный журнал (Автоматически)
      • 4.2.1.6 Убедитесь, что удаленные сообщения rsyslog принимаются только на назначенных журналах. (Вручную)
    • 4.2.2 Настройка journald
      • 4.2.2.1 Убедитесь, что journald настроен для отправки журналов в rsyslog - (Автоматически)
      • 4.2.2.2 Убедитесь, что journald настроен для сжатия больших файлов журналов - (Автоматически)
      • 4.2.2.3 Убедитесь, что journald настроен для записи файлов журналов на постоянный диск (Автоматически)
    • 4.2.3 Убедитесь, что разрешения на все файлы журналов настроены (Автоматически)
  • 4.3 Убедитесь, что logrotate настроен (Вручную)
  • 4.4 Убедитесь, что logrotate назначает соответствующие разрешения (Автоматически)

5 Доступ, аутентификация и авторизация

  • 5.1 Настройка планировщиков задач на основе времени
    • 5.1.1 Убедитесь, что демон cron включен и работает (Автоматически)
    • 5.1.2 Убедитесь, что разрешения на /etc/crontab настроены (Автоматически)
    • 5.1.3 Убедитесь, что разрешения на /etc/cron.hourly настроены - (Автоматически)
    • 5.1.4 Убедитесь, что разрешения на /etc/cron.daily настроены - (Автоматически)
    • 5.1.5 Убедитесь, что разрешения на /etc/cron.weekly настроены - (Автоматически)
    • 5.1.6 Убедитесь, что разрешения на /etc/cron.monthly настроены - (Автоматически)
    • 5.1.7 Убедитесь, что разрешения на /etc/cron.d настроены (Автоматически)
    • 5.1.8 Убедитесь, что cron ограничен авторизованными пользователями (Автоматически)
    • 5.1.9 Убедитесь, что at ограничен авторизованными пользователями (Автоматически)
  • 5.2 Настройка SSH сервера
    • 5.2.1 Убедитесь, что разрешения на /etc/ssh/sshd_config настроены - (Автоматически)
    • 5.2.2 Убедитесь, что разрешения на файлы приватного ключа SSH настроены - (Автоматически)
    • 5.2.3 Убедитесь, что разрешения на файлы публичного ключа SSH настроены - (Автоматически)
    • 5.2.4 Убедитесь, что уровень журнала SSH соответствует (Автоматически)
    • 5.2.5 Убедитесь, что пересылка X11 SSH отключена (Автоматически)
    • 5.2.6 Убедитесь, что MaxAuthTries SSH установлен на 4 или меньше (Автоматически)
    • 5.2.7 Убедитесь, что IgnoreRhosts SSH включен (Автоматически)
    • 5.2.8 Убедитесь, что HostbasedAuthentication SSH отключена (Автоматически)
    • 5.2.9 Убедитесь, что вход root в SSH отключен (Автоматически)
    • 5.2.10 Убедитесь, что PermitEmptyPasswords SSH отключен (Автоматически)
    • 5.2.11 Убедитесь, что PermitUserEnvironment SSH отключен (Автоматически)
    • 5.2.12 Убедитесь, что используются только сильные алгоритмы шифрования (Автоматически)
    • 5.2.13 Убедитесь, что используются только сильные алгоритмы MAC (Автоматически)
    • 5.2.14 Убедитесь, что используются только сильные алгоритмы обмена ключами - (Автоматически)
    • 5.2.15 Убедитесь, что интервал отключения SSH настроен (Автоматически)
    • 5.2.16 Убедитесь, что LoginGraceTime SSH установлен на одну минуту или меньше - (Автоматически)
    • 5.2.17 Убедитесь, что доступ SSH ограничен (Автоматически)
    • 5.2.18 Убедитесь, что баннер предупреждения SSH настроен (Автоматически)
    • 5.2.19 Убедитесь, что PAM SSH включен (Автоматически)
    • 5.2.20 Убедитесь, что AllowTcpForwarding SSH отключен (Автоматически)
    • 5.2.21 Убедитесь, что MaxStartups SSH настроен (Автоматически)
    • 5.2.22 Убедитесь, что MaxSessions SSH ограничен (Автоматически)
  • 5.3 Настройка PAM
    • 5.3.1 Убедитесь, что требования к созданию пароля настроены - (Автоматически)
    • 5.3.2 Убедитесь, что заблокировка попыток введения неправильного пароля настроена - (Автоматически)
    • 5.3.3 Убедитесь, что повторное использование пароля ограничено (Автоматически)
    • 5.3.4 Убедитесь, что алгоритм хеширования паролей - SHA-512 (Автоматически)
  • 5.4 Учётные записи пользователей и окружение
    • 5.4.1 Настройте параметры пакетной системы Shadow Password
      • 5.4.1.1 Убедитесь, что срок действия пароля составляет 365 дней или меньше (Автоматически)
      • 5.4.1.2 Убедитесь, что минимальные дни между изменениями пароля настроены - (Автоматически)
      • 5.4.1.3 Убедитесь, что предупреждение о сроке действия пароля составляет 7 или более - (Автоматически)
      • 5.4.1.4 Убедитесь, что блокировка неактивных паролей составляет 30 дней или меньше (Автоматически)
      • 5.4.1.5 Убедитесь, что дата последнего изменения пароля для всех пользователей находится в прошлом - (Автоматически)
    • 5.4.2 Убедитесь, что системные учётные записи защищены (Автоматически)
    • 5.4.3 Убедитесь, что группа по умолчанию для учетной записи root имеет GID 0 (Автоматически)
    • 5.4.4 Убедитесь, что umask пользователя по умолчанию составляет 027 или более ограничивающий - (Автоматически)
    • 5.4.5 Убедитесь, что истечение времени оболочки пользователя по умолчанию составляет 900 секунд или меньше - (Автоматически)
  • 5.5 Убедитесь, что вход root ограничен системой консоли (Вручную)
  • 5.6 Убедитесь, что доступ к команде su ограничен (Автоматически)

6 Обслуживание системы

  • 6.1 Разрешения файловой системы
    • 6.1.1 Аудит разрешений файловой системы (Вручную)
    • 6.1.2 Убедитесь, что разрешения на /etc/passwd настроены (Автоматически)
    • 6.1.3 Убедитесь, что разрешения на /etc/gshadow- настроены (Автоматически)
    • 6.1.4 Убедитесь, что разрешения на /etc/shadow настроены (Автоматически)
    • 6.1.5 Убедитесь, что разрешения на /etc/group настроены (Автоматически)
    • 6.1.6 Убедитесь, что разрешения на /etc/passwd- настроены (Автоматически)
    • 6.1.7 Убедитесь, что разрешения на /etc/shadow- настроены (Автоматически)
    • 6.1.8 Убедитесь, что разрешения на /etc/group- настроены (Автоматически)
    • 6.1.9 Убедитесь, что разрешения на /etc/gshadow настроены (Автоматически)
    • 6.1.10 Убедитесь, что не существует файлов, доступных для записи всем (Автоматически)
    • 6.1.11 Убедитесь, что не существует файлов или директорий без владельца (Автоматически)
    • 6.1.12 Убедитесь, что не существует файлов или директорий без группы (Автоматически)
    • 6.1.13 Аудит исполняемых файлов SUID (Вручную)
    • 6.1.14 Аудит исполняемых файлов SGID (Вручную)
  • 6.2 Настройки пользователей и групп
    • 6.2.1 Убедитесь, что поля паролей не пустые (Автоматически)
    • 6.2.2 Убедитесь, что root - единственная учётная запись с UID 0 (Автоматически)
    • 6.2.3 Убедитесь, что контроль целостности PATH для root осуществляется (Автоматически)
    • 6.2.4 Убедитесь, что все домашние каталоги пользователей существуют (Автоматически)
    • 6.2.5 Убедитесь, что разрешения на домашние каталоги пользователей составляют 750 или более ограничивающие (Автоматически)
    • 6.2.6 Убедитесь, что пользователи владеют своими домашними каталогами (Автоматически)
    • 6.2.7 Убедитесь, что файлы dot пользователей не доступны для записи группе или всем - (Автоматически)
    • 6.2.8 Убедитесь, что у пользователей нет файлов .forward (Автоматически)
    • 6.2.9 Убедитесь, что у пользователей нет файлов .netrc (Автоматически)
    • 6.2.10 Убедитесь, что файлы .netrc пользователей недоступны для группы или всем - (Автоматически)
    • 6.2.11 Убедитесь, что у пользователей нет файлов .rhosts (Автоматически)
    • 6.2.12 Убедитесь, что все группы в /etc/passwd существуют в /etc/group - (Автоматически)
    • 6.2.13 Убедитесь, что не существует дублирующихся UID (Автоматически)
    • 6.2.14 Убедитесь, что не существует дублирующихся GID (Автоматически)
    • 6.2.15 Убедитесь, что не существует дублирующих имен пользователей (Автоматически)
    • 6.2.16 Убедитесь, что не существует дублирующих имен групп (Автоматически)
    • 6.2.17 Убедитесь, что группа безопасности пуста (Автоматически)

Лицензия

MIT

Прочее

Этот репозиторий возник из работы, выполненной MindPointGroup

О проекте

Ansible role to apply Ubuntu 20.04 CIS Baseline

Установить
ansible-galaxy install florianutz/ubuntu2004_cis
Лицензия
mit
Загрузки
7635
Владелец