security-settings
ansible-security-settings
Ansible роль для внедрения настроек безопасности, относящихся к соблюдению требований в корпоративной среде на ОС корпоративного уровня.
Описание
Эта роль настраивает несколько параметров безопасности, таких как вход в систему, управление паролями, ssh, pam, конфигурация selinux и другие. Она разработана для определения стандартов соблюдения корпоративных требований.
Настраивает:
- модули pam tally и faillock для автоматической блокировки учетной записи при сбоях входа
- историю паролей
- сложность пароля
- настройки ssh порта, rootlogin, баннера, шифрования, перенаправления портов
- состояние selinux и брандмауэра
- тайм-аут оболочки
- отключение физической отправки прерываний и комбинации ctrl-alt-del
- конфигурацию Linux auditd
- статус брандмауэра
- конфигурацию Magic SysRq
Переменные для устаревания паролей:
| Название | Значение по умолчанию | Описание |
|---|---|---|
os_auth_pw_max_age |
60 | Максимальное количество дней, после которых пароль должен быть изменён |
os_auth_pw_min_age |
10 | Минимальное количество дней, которое должен иметь пароль перед его изменением |
os_auth_pw_warn_age |
7 | Количество дней до истечения срока пароля, когда учетная запись получит предупреждение |
passhistory |
6 | Количество паролей, которые нужно запомнить, чтобы избежать повторного использования |
Переменные для сложности пароля:
| Название | Значение по умолчанию | Описание |
|---|---|---|
pwquality_minlen |
8 | Минимальная длина пароля в символах |
pwquality_maxrepeat |
3 | Максимальное количество одинаковых символов в пароле |
pwquality_lcredit |
-1 | Количество строчных букв, которые должны быть в пароле, для 2 используйте '-2' и так далее |
pwquality_ucredit |
-1 | Количество заглавных букв, которые должны быть в пароле, для 2 используйте '-2' и так далее |
pwquality_dcredit |
-1 | Количество цифр, которые должны быть в пароле, для 2 используйте '-2' и так далее |
pwquality_ocredit |
-1 | Количество специальных символов, которые должны быть в пароле, для 2 используйте '-2' и так далее |
solaris_dictionary_minwordlength |
5 | Минимальная длина слова в словаре Solaris |
Переменные для неактивности учетной записи и неудачного входа:
| Название | Значение по умолчанию | Описание |
|---|---|---|
fail_deny |
5 | Количество попыток неудачного ввода пароля до блокировки учетной записи |
fail_unlock |
0 | Время в секундах, через которое учетная запись будет разблокирована после неудачных входов; если установлено на 0, автоматическая разблокировка отключена, и пароли останутся заблокированными |
inactive_lock |
0 | Количество дней, в течение которых учетная запись может оставаться неактивной перед блокировкой; значение 0 отключает блокировку из-за неактивности |
shell_timeout |
900 | Желаемый тайм-аут оболочки в секундах, установите 0 для отключения |
Переменные для системных служб и настроек:
| Название | Значение по умолчанию | Описание |
|---|---|---|
selinux_state |
permissive | Значение конфигурации selinux |
firewall_check |
false | Настраивает, должна ли роль проверить установку брандмауэра |
firewall_state |
stopped | Желаемое состояние брандмауэра |
firewall_enable |
'no' | Желаемое состояние конфигурации брандмауэра |
disable_ctrlaltdel |
True | Отключить комбинацию Control-Alt-Del и физическую отправку прерываний в Solaris |
solaris_disable_services |
false | Отключить небезопасные службы Solaris |
magic_sysrq |
1 | Значение настройки kernel.sysrq в Linux, как принято в ядре Linux |
Переменные для конфигурации SSH:
| Название | Значение по умолчанию | Описание |
|---|---|---|
sshrootlogin |
'no' | Разрешить вход по ssh с правами root, оставляйте одинарные кавычки, чтобы избежать логической оценки |
sshportforwarding |
'no' | Настроенные параметры для перенаправления портов, значения как в конфигурационном файле: yes, no, remote, local |
sshmainport |
22 | Основной порт ssh |
sshextraport |
0 | Вторичный порт ssh, установите 0 для отключения дополнительного порта |
setloginbanner |
true | Использовать баннер при входе в ssh |
sshd_solaris_restrict_ipv4 |
True | Ограничить ssh соединения до ipv4 в Solaris для обхода проблем с DISPLAY |
ssh_enforce_ciphers |
True | Обязательное использование сильных шифров и MAC в ssh, false для отключения и разрешения всех поддерживаемых MAC и шифров |
sha1_mac_enabled |
False | Отключить использование sha1 HMAC в ssh, существуют теоретические векторы атак |
md5_mac_enabled |
False | Отключить использование md5 HMAC в ssh, известные уязвимости и векторы атак существуют |
truncated_mac_enabled |
False | Отключить использование укороченных 96-битных HMAC из md5 или sha1 в ssh, короткие подмножества md5 и sha1 |
cbc_ciphers_enabled |
False | Отключить использование шифров в режиме цепочки блочных шифров (Cipher Block Chaining) в ssh, считается уязвимым к нескольким атакам Padding на Oracle |
sweet32_ciphers_enabled |
False | Включить использование 64-битных шифров в режиме цепочки блочных шифров (Cipher Block Chaining) в ssh, считается уязвимым к атаке SWEET32 |
rc4_ciphers_enabled |
False | Включить использование шифров arcfour в ssh, считается уязвимым с существующими практическими атаками |
nist_curves_enabled |
false | Отключить криптографию на кривых NIST KEX, так как они слабы по нескольким аспектам |
logjam_sha1_enabled |
false | Отключить алгоритмы SHA1 KEX, уязвимые к атакам logjam |
Переменные для конфигурации аудита:
| Название | Значение по умолчанию | Описание |
|---|---|---|
auditd_configure: |
true | Включить управление конфигурацией auditd |
auditd_max_log_filesize |
25 | Максимальный размер файла журнала аудита в MB |
auditd_num_logs |
8 | Максимальное количество журналов аудита для хранения |
security_audit_datetime_changes |
true | auditd будет отслеживать все изменения даты и времени |
security_audit_account_modifications |
true | auditd будет отслеживать все изменения учетных записей |
security_audit_network_changes |
true | auditd будет отслеживать все изменения в конфигурации сети |
security_audit_selinux_changes |
true | auditd будет отслеживать изменения в конфигурациях selinux |
security_audit_permission_changes |
false | auditd будет отслеживать все изменения прав на файлы |
security_audit_fileaccess_failedattempts |
false | auditd будет отслеживать все несанкционированные попытки доступа к файлам |
security_audit_filesystem_mounts |
true | auditd будет отслеживать все монтирования/размонтирования файловых систем |
security_audit_deletions |
false | auditd будет отслеживать все удаления файлов |
security_audit_sudoers |
true | auditd будет отслеживать все изменения правил sudoers |
security_audit_kernel_modules |
false | auditd будет отслеживать все операции с модулями, а также конфигурации sysctl |
security_audit_logon |
true | auditd будет отслеживать все входы/выходы/сессии |
security_audit_elevated_privilege_commands |
true | auditd будет отслеживать все команды с повышенными привилегиями |
security_audit_all_commands |
false | auditd будет отслеживать ВСЕ команды |
security_audit_log_integrity |
false | auditd будет контролировать целостность журналов и конфигурации журналирования |
security_audit_configuration_immutable |
false | auditd сделает свои правила неизменяемыми; потребуется перезагрузка для внесения изменений |
security_audit_custom_rules |
пусто | Это многострочная переменная, которая, если определена, должна содержать полные правила аудита, которые будут добавлены в конфигурационный файл |
О проекте
Ansible Role for enforcing security settings related to enterprise compliance on enterprise grade OS.
Установить
ansible-galaxy install scathatheworm/ansible-security-settingsЛицензия
gpl-2.0
Загрузки
109
Владелец
IT stuff.