cis_ubuntu_20_04_ansible

Ansible CIS Ubuntu 20.04 LTS

Усиленная безопасность Ubuntu по стандартам CIS: предотвращение кибератак и вредоносного ПО для критически важных систем. Рекомендации CIS помогают защитить ваши системы путем удаления:

  1. небезопасных программ.
  2. отключения неиспользуемых файловых систем.
  3. отключения ненужных портов или сервисов.
  4. аудита привилегированных операций.
  5. ограничения административных привилегий.

Рекомендации CIS применяются в виртуальных машинах как в публичных, так и в частных облаках. Они также используются для обеспечения безопасности локальных развертываний. Для некоторых отраслей обеспечение системы жесткими стандартами является критерием, на который обращают внимание аудиторы. Рекомендации CIS часто формируют выбор в пользу жесткости системы, рекомендуемой аудиторами для отраслей, требующих соблюдения PCI-DSS и HIPAA, таких как банковское дело, телекоммуникации и здравоохранение.

Если вы пытаетесь добиться соответствия отраслевым стандартам безопасности, таким как PCI DSS, APRA или ISO 27001, вам нужно продемонстрировать, что вы применили документированные стандарты жесткости ко всем системам, входящим в область оценки.

Рекомендации CIS для Ubuntu организованы в разные профили, а именно «Уровень 1» и «Уровень 2», предназначенные для серверной и клиентской среды.

Профиль уровня 1 предназначен для практической и разумной защиты системы без значительного снижения производительности.

  • Отключение ненужных файловых систем,
  • Ограничение пользовательских прав к файлам и директориям,
  • Отключение ненужных сервисов.
  • Настройка сетевых экранов.

Профиль уровня 2 применяется, когда безопасность имеет критическое значение и может негативно сказаться на производительности системы.

  • Создание отдельных разделов,
  • Аудит привилегированных операций.

Инструмент жесткости CIS для Ubuntu позволяет выбрать желаемый уровень жесткости относительно профиля (Уровень 1 или Уровень 2) и рабочей среды (сервер или рабочая станция) для системы. Пример:

ansible-playbook -i inventory cis-ubuntu-20.yaml --tags="level_1_server"

Вы можете вывести список всех тегов, запустив следующую команду:

ansible-playbook -i host run.yaml --list-tags

Я написал все роли на основе

CIS Ubuntu Linux 20.04 LTS Benchmark
v1.0.0 - 21.07.2020

Проверка примера директории


Требования

Вам следует внимательно изучить задачи, чтобы убедиться, что эти изменения не нарушат работу ваших систем перед запуском этого плейбука.

Вы можете загрузить бесплатную книгу стандартов CIS по этой ссылке Бесплатный стандарт

Чтобы начать работать с этой ролью, вам просто нужно установить Ansible. Установка Ansible


Переменные роли

Вы должны изучить все значения по умолчанию перед запуском этого плейбука. В defaults/main.yml определено множество переменных роли.

  • Если вы собираетесь применять эту роль к каким-либо серверам, вы должны иметь базовое представление о стандарте CIS Benchmark и понимать его влияние на систему.
  • Прочитайте и измените настраиваемые значения по умолчанию.

Примеры конфигураций, которые следует сразу рассмотреть для исключения:

5.1.8 Убедитесь, что использование cron ограничено авторизованными пользователями и 5.2.17 Убедитесь, что доступ по SSH ограничен, что по умолчанию фактически ограничивает доступ к хосту (включая через SSH).

Например:

  • CIS-Ubuntu-20.04-Ansible/defaults/main.yml
#Раздел 5
#5.1.8 Убедитесь, что использование cron ограничено авторизованными пользователями
allowd_hosts: "ALL: 0.0.0.0/0.0.0.0, 192.168.2.0/255.255.255.0"
# 5.2.17 Убедитесь, что доступ по SSH ограничен
allowed_users: root #Поставьте None или список пользователей, разделяя пробелом

Если вам нужно изменить шаблоны файлов, вы можете найти их в files/templates/*


Зависимости

  • Ansible версии > 2.9

Пример плейбука

Ниже приведен пример плейбука

---
- hosts: host1
  become: yes
  remote_user: root
  gather_facts: no
  roles:
    - { role: "CIS-Ubuntu-20.04-Ansible",}

Запустить все

Если вы хотите запустить все теги, используйте команду:

ansible-playbook -i [инвентарный файл] [плейбук].yaml

Запустить определенный раздел

ansible-playbook -i host run.yaml -t section2

Запустить несколько разделов

ansible-playbook -i host run.yaml -t section2 -t 6.1.1
  • Примечание: При запуске отдельной задачи убедитесь в зависимости между задачами. Например, если вы запустите тег 4.1.1.2 Убедитесь, что служба auditd включена перед запуском 4.1.1.1 Убедитесь, что auditd установлен, вы получите ошибку во время выполнения.

Таблица ролей:

1 Начальная настройка

  • 1.1 Конфигурация файловой системы
  • 1.1.1 Отключение неиспользуемых файловых систем
  • 1.1.1.1 Убедитесь, что монтирование файловых систем cramfs отключено (Автоматизировано)
  • 1.1.1.2 Убедитесь, что монтирование файловых систем freevxfs отключено - (Автоматизировано)
  • 1.1.1.3 Убедитесь, что монтирование файловых систем jffs2 отключено (Автоматизировано)
  • 1.1.1.4 Убедитесь, что монтирование файловых систем hfs отключено (Автоматизировано)
  • 1.1.1.5 Убедитесь, что монтирование файловых систем hfsplus отключено - (Автоматизировано)
  • 1.1.1.6 Убедитесь, что монтирование файловых систем udf отключено (Автоматизировано)
  • 1.1.1.7 Убедитесь, что монтирование файловых систем FAT ограничено (Ручное)
  • 1.1.2 Убедитесь, что /tmp настроен (Автоматизировано)
  • 1.1.3 Убедитесь, что установлено option nodev на разделе /tmp (Автоматизировано)
  • 1.1.4 Убедитесь, что установлено option nosuid на разделе /tmp (Автоматизировано)
  • 1.1.5 Убедитесь, что установлено option noexec на разделе /tmp (Автоматизировано)
  • 1.1.6 Убедитесь, что /dev/shm настроен (Автоматизировано)
  • 1.1.7 Убедитесь, что установлено option nodev на разделе /dev/shm (Автоматизировано)
  • 1.1.8 Убедитесь, что установлено option nosuid на разделе /dev/shm (Автоматизировано)
  • 1.1.9 Убедитесь, что установлено option noexec на разделе /dev/shm (Автоматизировано)
  • 1.1.10 Убедитесь, что существует отдельный раздел для /var (Автоматизировано)
  • 1.1.11 Убедитесь, что существует отдельный раздел для /var/tmp (Автоматизировано)
  • 1.1.12 Убедитесь, что установлено option nodev на разделе /var/tmp (Автоматизировано)
  • 1.1.13 Убедитесь, что установлено option nosuid на разделе /var/tmp (Автоматизировано)
  • 1.1.14 Убедитесь, что установлено option noexec на разделе /var/tmp (Автоматизировано)
  • 1.1.15 Убедитесь, что существует отдельный раздел для /var/log (Автоматизировано)
  • 1.1.16 Убедитесь, что существует отдельный раздел для /var/log/audit - (Автоматизировано)
  • 1.1.17 Убедитесь, что существует отдельный раздел для /home (Автоматизировано)
  • 1.1.18 Убедитесь, что установлено option nodev на разделе /home (Автоматизировано)
  • 1.1.19 Убедитесь, что установлено option nodev на разделах сменных носителей (Ручное)
  • 1.1.20 Убедитесь, что установлено option nosuid на разделах сменных носителей - (Ручное)
  • 1.1.21 Убедитесь, что установлено option noexec на разделах сменных носителей - (Ручное)
  • 1.1.22 Убедитесь, что установлен бит sticky на всех директориях, доступных для записи всем - (Автоматизировано)
  • 1.1.23 Отключить автоматическое монтирование (Автоматизировано)
  • 1.1.24 Отключить USB-накопители (Автоматизировано)

1.2 Настройка обновлений программного обеспечения

  • 1.2.1 Убедитесь, что репозитории менеджера пакетов настроены (Ручное)
  • 1.2.2 Убедитесь, что ключи GPG настроены (Ручное)

1.3 Настройка sudo

  • 1.3.1 Убедитесь, что sudo установлен (Автоматизировано)
  • 1.3.2 Убедитесь, что команды sudo используют pty (Автоматизировано)
  • 1.3.3 Убедитесь, что файл журнала sudo существует (Автоматизировано)

1.4 Проверка целостности файловой системы

  • 1.4.1 Убедитесь, что AIDE установлен (Автоматизировано)
  • 1.4.2 Убедитесь, что целостность файловой системы регулярно проверяется (Автоматизировано)

1.5 Настройки безопасной загрузки

  • 1.5.1 Убедитесь, что пароль загрузчика установлен (Автоматизировано)
  • 1.5.2 Убедитесь, что настройки конфигурации загрузчика настроены - (Автоматизировано)
  • 1.5.3 Убедитесь, что требуется аутентификация для однопользовательского режима (Автоматизировано)

1.6 Дополнительное ужесточение процессов

  • 1.6.1 Убедитесь, что поддержка XD/NX включена (Автоматизировано)
  • 1.6.2 Убедитесь, что включена рандомизация распределения адресов (ASLR) - (Автоматизировано)
  • 1.6.3 Убедитесь, что prelink отключен (Автоматизировано)
  • 1.6.4 Убедитесь, что ограничены дампы памяти (Автоматизировано)

1.7 Обязательный контроль доступа

  • 1.7.1 Настройка AppArmor
  • 1.7.1.1 Убедитесь, что AppArmor установлен (Автоматизировано)
  • 1.7.1.2 Убедитесь, что AppArmor включен в настройках загрузчика - (Автоматизировано)
  • 1.7.1.3 Убедитесь, что все профили AppArmor находятся в режиме enforcement или complain - (Автоматизировано)
  • 1.7.1.4 Убедитесь, что все профили AppArmor применяются (Автоматизировано)

1.8 Предупредительные баннеры

  • 1.8.1 Предупредительные баннеры командной строки
  • 1.8.1.1 Убедитесь, что сообщение дня настроено правильно (Автоматизировано)
  • 1.8.1.2 Убедитесь, что предупреждающий баннер для местного входа настроен правильно - (Автоматизировано)
  • 1.8.1.3 Убедитесь, что предупреждающий баннер для удаленного входа настроен правильно - (Автоматизировано)
  • 1.8.1.4 Убедитесь, что права доступа к /etc/motd настроены (Автоматизировано)
  • 1.8.1.5 Убедитесь, что права доступа к /etc/issue настроены (Автоматизировано)
  • 1.8.1.6 Убедитесь, что права доступа к /etc/issue.net настроены - (Автоматизировано)
  • 1.9 Убедитесь, что обновления, патчи и дополнительные средства безопасности установлены (Ручное)
  • 1.10 Убедитесь, что GDM удален или входит в систему (Автоматизировано)

2 Сервисы

  • 2.1 Сервисы inetd
  • 2.1.1 Убедитесь, что xinetd не установлен (Автоматизировано)
  • 2.1.2 Убедитесь, что openbsd-inetd не установлен (Автоматизировано)
  • 2.2 Специальные сервисы
  • 2.2.1 Синхронизация времени
  • 2.2.1.1 Убедитесь, что используется синхронизация времени (Автоматизировано)
  • 2.2.1.2 Убедитесь, что systemd-timesyncd настроен (Ручное)
  • 2.2.1.3 Убедитесь, что chrony настроен (Автоматизировано)
  • 2.2.1.4 Убедитесь, что ntp настроен (Автоматизировано)
  • 2.2.2 Убедитесь, что X Window System не установлен (Автоматизировано)
  • 2.2.3 Убедитесь, что сервер Avahi не установлен (Автоматизировано)
  • 2.2.4 Убедитесь, что CUPS не установлен (Автоматизировано)
  • 2.2.5 Убедитесь, что DHCP-сервер не установлен (Автоматизировано)
  • 2.2.6 Убедитесь, что LDAP-сервер не установлен (Автоматизировано)
  • 2.2.7 Убедитесь, что NFS не установлен (Автоматизировано)
  • 2.2.8 Убедитесь, что DNS-сервер не установлен (Автоматизировано)
  • 2.2.9 Убедитесь, что FTP-сервер не установлен (Автоматизировано)
  • 2.2.10 Убедитесь, что HTTP-сервер не установлен (Автоматизировано)
  • 2.2.11 Убедитесь, что IMAP и POP3 серверы не установлены (Автоматизировано)
  • 2.2.12 Убедитесь, что Samba не установлена (Автоматизировано)
  • 2.2.13 Убедитесь, что HTTP Proxy Server не установлен (Автоматизировано)
  • 2.2.14 Убедитесь, что SNMP Server не установлен (Автоматизировано)
  • 2.2.15 Убедитесь, что агент отправки почты настроен в локальном режиме - (Автоматизировано)
  • 2.2.16 Убедитесь, что служба rsync не установлена (Автоматизировано)
  • 2.2.17 Убедитесь, что NIS Server не установлен (Автоматизировано)

2.3 Клиенты служб

  • 2.3.1 Убедитесь, что NIS Client не установлен (Автоматизировано)
  • 2.3.2 Убедитесь, что rsh клиент не установлен (Автоматизировано)
  • 2.3.3 Убедитесь, что клиент talk не установлен (Автоматизировано)
  • 2.3.4 Убедитесь, что клиент telnet не установлен (Автоматизировано)
  • 2.3.5 Убедитесь, что LDAP клиент не установлен (Автоматизировано)
  • 2.3.6 Убедитесь, что RPC не установлен (Автоматизировано)
  • 2.4 Убедитесь, что несущественные сервисы удалены или замаскированы (Ручное)

3 Сетевая конфигурация

  • 3.1 Отключение неиспользуемых сетевых протоколов и устройств
  • 3.1.1 Отключите IPv6 (Ручное)
  • 3.1.2 Убедитесь, что беспроводные интерфейсы отключены (Автоматизировано)

3.2 Сетевые параметры (только хост)

  • 3.2.1 Убедитесь, что отправка пакетов перенаправления отключена (Автоматизировано)
  • 3.2.2 Убедитесь, что IP-перенаправление отключено (Автоматизировано)

3.3 Сетевые параметры (хост и маршрутизатор)

  • 3.3.1 Убедитесь, что пакеты с маршрутизацией источников не принимаются (Автоматизировано)
  • 3.3.2 Убедитесь, что ICMP перенаправления не принимаются (Автоматизировано)
  • 3.3.3 Убедитесь, что безопасные ICMP перенаправления не принимаются (Автоматизировано)
  • 3.3.4 Убедитесь, что подозрительные пакеты записываются в журналы (Автоматизировано)
  • 3.3.5 Убедитесь, что широковещательные ICMP-запросы игнорируются (Автоматизировано)
  • 3.3.6 Убедитесь, что ложные ICMP-ответы игнорируются (Автоматизировано)
  • 3.3.7 Убедитесь, что фильтрация обратного пути включена (Автоматизировано)
  • 3.3.8 Убедитесь, что TCP SYN Cookies включены (Автоматизировано)
  • 3.3.9 Убедитесь, что объявления маршрутизаторов IPv6 не принимаются (Автоматизировано)

3.4 Нечастые сетевые протоколы

  • 3.4.1 Убедитесь, что DCCP отключен (Автоматизировано)
  • 3.4.2 Убедитесь, что SCTP отключен (Автоматизировано)
  • 3.4.3 Убедитесь, что RDS отключен (Автоматизировано)
  • 3.4.4 Убедитесь, что TIPC отключен (Автоматизировано)

3.5 Настройка брандмауэра

  • 3.5.1 Настройка UncomplicatedFirewall
  • 3.5.1.1 Убедитесь, что Uncomplicated Firewall установлен (Автоматизировано)
  • 3.5.1.2 Убедитесь, что iptables-persistent не установлен (Автоматизировано)
  • 3.5.1.3 Убедитесь, что служба ufw включена (Автоматизировано)
  • 3.5.1.4 Убедитесь, что циклический трафик настроен (Автоматизировано)
  • 3.5.1.5 Убедитесь, что исходящие соединения настроены (Ручное)
  • 3.5.1.6 Убедитесь, что правила брандмауэра существуют для всех открытых портов (Ручное)
  • 3.5.1.7 Убедитесь, что политика брандмауэра по умолчанию отклоняет (Автоматизировано)

4 Журналирование и аудит

  • 4.1 Настройка учёта системы (auditd)
  • 4.1.1 Убедитесь, что аудит включен
  • 4.1.1.1 Убедитесь, что auditd установлен (Автоматизировано)
  • 4.1.1.2 Убедитесь, что служба auditd включена (Автоматизировано)
  • 4.1.1.3 Убедитесь, что аудит процессов, которые стартуют до auditd, включен (Автоматизировано)
  • 4.1.1.4 Убедитесь, что audit_backlog_limit достаточно (Автоматизировано)
  • 4.1.2 Настройка хранения данных
  • 4.1.2.1 Убедитесь, что размер хранилища журналов аудита настроен (Автоматизировано)
  • 4.1.2.2 Убедитесь, что журналы аудита не автоматически удаляются (Автоматизировано)
  • 4.1.2.3 Убедитесь, что система отключается, когда журналы аудита полны - (Автоматизировано)
  • 4.1.3 Убедитесь, что события, меняющие информацию о дате и времени, собираются (Автоматизировано)
  • 4.1.4 Убедитесь, что события, меняющие информацию о пользователях/группах, собираются (Автоматизировано)
  • 4.1.5 Убедитесь, что события, которые изменяют сетевую среду системы, собираются (Автоматизировано)
  • 4.1.6 Убедитесь, что события, изменяющие обязательные контролы доступа системы, собираются (Автоматизировано)
  • 4.1.7 Убедитесь, что события входа/выхода собираются (Автоматизировано)
  • 4.1.8 Убедитесь, что сохраняется информация о инициировании сеансов (Автоматизировано)
  • 4.1.9 Убедитесь, что события модификации разрешений контроля доступа собираются (Автоматизировано)
  • 4.1.10 Убедитесь, что собираются неудачные несанкционированные попытки доступа к файлам (Автоматизировано)
  • 4.1.11 Убедитесь, что использование привилегированных команд собирается (Автоматизировано)
  • 4.1.12 Убедитесь, что успешные монтирования файловых систем собираются (Автоматизировано)
  • 4.1.13 Убедитесь, что события удаления файлов пользователями собираются (Автоматизировано)
  • 4.1.14 Убедитесь, что изменения области управления системной администрацией (sudoers) собираются (Автоматизировано)
  • 4.1.15 Убедитесь, что выполнения команд системным администратором (sudo) собираются (Автоматизировано)
  • 4.1.16 Убедитесь, что загрузка и выгрузка модулей ядра собираются (Автоматизировано)
  • 4.1.17 Убедитесь, что конфигурация аудита неизменна (Автоматизировано)

4.2 Настройка журналирования

  • 4.2.1 Настройка rsyslog
  • 4.2.1.1 Убедитесь, что rsyslog установлен (Автоматизировано)
  • 4.2.1.2 Убедитесь, что служба rsyslog включена (Автоматизировано)
  • 4.2.1.3 Убедитесь, что журналирование настроено (Ручное)
  • 4.2.1.4 Убедитесь, что настройки прав на файлы по умолчанию для rsyslog настроены - (Автоматизировано)
  • 4.2.1.5 Убедитесь, что rsyslog настроен на отправку журналов на удаленный сервер журналирования (Автоматизировано)
  • 4.2.1.6 Убедитесь, что удаленные сообщения rsyslog принимаются только на обозначенных хостах журналов. (Ручное)
  • 4.2.2 Настройка journald
  • 4.2.2.1 Убедитесь, что journald настроен на отправку журналов в rsyslog - (Автоматизировано)
  • 4.2.2.2 Убедитесь, что journald настроен на сжатие больших файлов журналов - (Автоматизировано)
  • 4.2.2.3 Убедитесь, что journald настроен на запись файлов журналов на постоянный диск (Автоматизировано)
  • 4.2.3 Убедитесь, что права доступа на все файлы журналов настроены (Автоматизировано)
  • 4.3 Убедитесь, что logrotate настроен (Ручное)
  • 4.4 Убедитесь, что logrotate назначает соответствующие права доступа (Автоматизировано)

5 Доступ, аутентификация и авторизация

  • 5.1 Настройка планировщиков задач на основе времени
  • 5.1.1 Убедитесь, что демонтратор cron включен и работает (Автоматизировано)
  • 5.1.2 Убедитесь, что права на /etc/crontab настроены (Автоматизировано)
  • 5.1.3 Убедитесь, что права на /etc/cron.hourly настроены - (Автоматизировано)
  • 5.1.4 Убедитесь, что права на /etc/cron.daily настроены - (Автоматизировано)
  • 5.1.5 Убедитесь, что права на /etc/cron.weekly настроены - (Автоматизировано)
  • 5.1.6 Убедитесь, что права на /etc/cron.monthly настроены - (Автоматизировано)
  • 5.1.7 Убедитесь, что права на /etc/cron.d настроены (Автоматизировано)
  • 5.1.8 Убедитесь, что использование cron ограничено авторизованными пользователями (Автоматизировано)
  • 5.1.9 Убедитесь, что at ограничен авторизованными пользователями (Автоматизировано)

5.2 Настройка SSH-сервера

  • 5.2.1 Убедитесь, что права на /etc/ssh/sshd_config настроены - (Автоматизировано)
  • 5.2.2 Убедитесь, что права на закрытые ключи хоста SSH настроены (Автоматизировано)
  • 5.2.3 Убедитесь, что права на открытые ключи хоста SSH настроены - (Автоматизировано)
  • 5.2.4 Убедитесь, что уровень журнала SSH подходит (Автоматизировано)
  • 5.2.5 Убедитесь, что пересылка X11 по SSH отключена (Автоматизировано)
  • 5.2.6 Убедитесь, что SSH MaxAuthTries установлен на 4 или меньше (Автоматизировано)
  • 5.2.7 Убедитесь, что SSH IgnoreRhosts включён (Автоматизировано)
  • 5.2.8 Убедитесь, что аутентификация на основе хоста SSH отключена (Автоматизировано)
  • 5.2.9 Убедитесь, что вход root по SSH отключен (Автоматизировано)
  • 5.2.10 Убедитесь, что пустые пароли SSH отключены (Автоматизировано)
  • 5.2.11 Убедитесь, что среда пользователя SSH отключена (Автоматизировано)
  • 5.2.12 Убедитесь, что используются только надежные шифры (Автоматизировано)
  • 5.2.13 Убедитесь, что используются только надежные алгоритмы MAC (Автоматизировано)
  • 5.2.14 Убедитесь, что используются только надежные алгоритмы обмена ключами - (Автоматизировано)
  • 5.2.15 Убедитесь, что интервал простоя SSH настроен (Автоматизировано)
  • 5.2.16 Убедитесь, что время ожидания входа SSH установлено на одну минуту или меньше - (Автоматизировано)
  • 5.2.17 Убедитесь, что доступ по SSH ограничен (Автоматизировано)
  • 5.2.18 Убедитесь, что предупреждающий баннер SSH настроен (Автоматизировано)
  • 5.2.19 Убедитесь, что SSH PAM включен (Автоматизировано)
  • 5.2.20 Убедитесь, что пересылка TCP SSH отключена (Автоматизировано)
  • 5.2.21 Убедитесь, что SSH MaxStartups настроен (Автоматизировано)
  • 5.2.22 Убедитесь, что SSH MaxSessions ограничен (Автоматизировано)

5.3 Настройка PAM

  • 5.3.1 Убедитесь, что требования к созданию пароля настроены - (Автоматизировано)
  • 5.3.2 Убедитесь, что для неудачных попыток ввода пароля настроен блокировка - (Автоматизировано)
  • 5.3.3 Убедитесь, что повторное использование пароля ограничено (Автоматизировано)
  • 5.3.4 Убедитесь, что алгоритм хеширования паролей - SHA-512 (Автоматизировано)

5.4 Учетные записи пользователей и окружение

  • 5.4.1 Установить параметры для Shadow Password Suite
  • 5.4.1.1 Убедитесь, что срок действия пароля составляет 365 дней или меньше (Автоматизировано)
  • 5.4.1.2 Убедитесь, что минимальный срок между изменениями пароля настроен - (Автоматизировано)
  • 5.4.1.3 Убедитесь, что срок предупреждения о истечении пароля составляет 7 или более - (Автоматизировано)
  • 5.4.1.4 Убедитесь, что блокировка неактивных паролей составляет 30 дней или меньше (Автоматизировано)
  • 5.4.1.5 Убедитесь, что дата последнего изменения пароля для всех пользователей находится в прошлом - (Автоматизировано)
  • 5.4.2 Убедитесь, что системные учетные записи защищены (Автоматизировано)
  • 5.4.3 Убедитесь, что группа по умолчанию для учетной записи root - GID 0 (Автоматизировано)
  • 5.4.4 Убедитесь, что umask пользователя по умолчанию составляет 027 или более строгое - (Автоматизировано)
  • 5.4.5 Убедитесь, что время простоя оболочки пользователя по умолчанию составляет 900 секунд или меньше - (Автоматизировано)
  • 5.5 Убедитесь, что вход root ограничен системной консолью (Ручное)
  • 5.6 Убедитесь, что доступ к команде su ограничен (Автоматизировано)

6 Обслуживание системы

  • 6.1 Разрешения файловой системы
  • 6.1.1 Аудит разрешений файловой системы (Ручное)
  • 6.1.2 Убедитесь, что права на /etc/passwd настроены (Автоматизировано)
  • 6.1.3 Убедитесь, что права на /etc/gshadow- настроены (Автоматизировано)
  • 6.1.4 Убедитесь, что права на /etc/shadow настроены (Автоматизировано)
  • 6.1.5 Убедитесь, что права на /etc/group настроены (Автоматизировано)
  • 6.1.6 Убедитесь, что права на /etc/passwd- настроены (Автоматизировано)
  • 6.1.7 Убедитесь, что права на /etc/shadow- настроены (Автоматизировано)
  • 6.1.8 Убедитесь, что права на /etc/group- настроены (Автоматизировано)
  • 6.1.9 Убедитесь, что права на /etc/gshadow настроены (Автоматизировано)
  • 6.1.10 Убедитесь, что файлы, доступные для записи всем, отсутствуют (Автоматизировано)
  • 6.1.11 Убедитесь, что отсутствуют файлы или каталоги без владельца (Автоматизировано)
  • 6.1.12 Убедитесь, что отсутствуют файлы или каталоги без группы (Автоматизировано)
  • 6.1.13 Аудит SUID исполняемых файлов (Ручное)
  • 6.1.14 Аудит SGID исполняемых файлов (Ручное)

6.2 Настройки пользователей и групп

  • 6.2.1 Убедитесь, что поля паролей не пустые (Автоматизировано)
  • 6.2.2 Убедитесь, что root является единственной учетной записью UID 0 (Автоматизировано)
  • 6.2.3 Убедитесь в целостности пути root (Автоматизировано)
  • 6.2.4 Убедитесь, что у всех пользователей существуют домашние директории (Автоматизировано)
  • 6.2.5 Убедитесь, что разрешения для домашних директорий пользователей составляют 750 или более строгие (Автоматизировано)
  • 6.2.6 Убедитесь, что пользователи являются владельцами своих домашних директорий (Автоматизировано)
  • 6.2.7 Убедитесь, что dot-файлы пользователей не доступны для записи группой или всем - (Автоматизировано)
  • 6.2.8 Убедитесь, что у пользователей нет файлов .forward (Автоматизировано)
  • 6.2.9 Убедитесь, что у пользователей нет файлов .netrc (Автоматизировано)
  • 6.2.10 Убедитесь, что файлы .netrc пользователей не доступны для группы или всем - (Автоматизировано)
  • 6.2.11 Убедитесь, что у пользователей нет файлов .rhosts (Автоматизировано)
  • 6.2.12 Убедитесь, что все группы в /etc/passwd существуют в /etc/group - (Автоматизировано)
  • 6.2.13 Убедитесь, что дублирующие UID отсутствуют (Автоматизировано)
  • 6.2.14 Убедитесь, что дублирующие GID отсутствуют (Автоматизировано)
  • 6.2.15 Убедитесь, что дублирующие имена пользователей отсутствуют (Автоматизировано)
  • 6.2.16 Убедитесь, что дублирующие имена групп отсутствуют (Автоматизировано)
  • 6.2.17 Убедитесь, что группа shadow пуста (Автоматизировано)

Лицензия

BSD

Информация об авторе

При желании внести изменения в этот репозиторий, пожалуйста, сначала обсудите изменения, которые вы хотите сделать, через проблему на GitHub, электронную почту или другими способами со мной :)

Установить
ansible-galaxy install smith193-cruk/CIS-Ubuntu-20.04-Ansible
Лицензия
gpl-3.0
Загрузки
120
Владелец