hardening

Укрепление - роль Ansible

Роль Ansible для повышения безопасности серверов AlmaLinux, Debian или Ubuntu.
Версия systemd.

Требуется Ansible версии >= 2.12.

Доступно на Ansible Galaxy.

Поддерживаются: AlmaLinux 8, Debian 11, Ubuntu 20.04 LTS (Focal Fossa) и 22.04 LTS (Jammy Jellyfish).

Примечание

Не используйте эту роль без предварительного тестирования в нерабочей среде.

Примечание

В работе SLSA присутствует артефакт для проверки в рабочем процессе действия slsa.

Зависимости

Нет.

Примеры

Плейбук

---
- hosts: localhost
  any_errors_fatal: true
  tasks:
    - name: Включить роль укладки
      ansible.builtin.include_role:
        name: thechip911.hardening
      vars:
        block_blacklisted: true
        sshd_admin_net:
          - 10.0.0.0/16
        suid_sgid_permissions: false
...

ansible-pull с git checkout

---
- hosts: localhost
  any_errors_fatal: true
  tasks:
    - name: Установить git
      become: true
      ansible.builtin.package:
        name: git
        state: present

    - name: Проверить роль thechip911.hardening
      become: true
      ansible.builtin.git:
        repo: 'https://github.com/thechip911/ansible-role-hardening'
        dest: /etc/ansible/roles/thechip911.hardening
        version: master

    - name: Включить роль укладки
      ansible.builtin.include_role:
        name: thechip911.hardening
      vars:
        block_blacklisted: true
        sshd_admin_net:
          - 10.0.2.0/16
        suid_sgid_permissions: false
...

Примечание о правилах брандмауэра UFW

Вместо сброса ufw при каждом запуске и тем самым вызова сетевых перебоев, роль удаляет все правила ufw, не имеющие параметра и значения comment: ansible managed.

Роль также устанавливает политики по умолчанию для запрета, что означает, что необходимо создать правила брандмауэра для любых дополнительных портов, кроме тех, которые указаны в переменных sshd_port и ufw_outgoing_traffic.

Выполнение задач и структура

См. STRUCTURE.md для дерева структуры роли.

Тестирование роли

См. TESTING.md.

Переменные роли по умолчанию

./defaults/main/auditd.yml

auditd_apply_audit_rules: true
auditd_action_mail_acct: root
auditd_admin_space_left_action: suspend
auditd_disk_error_action: suspend
auditd_disk_full_action: suspend
auditd_max_log_file: 8
auditd_max_log_file_action: keep_logs
auditd_mode: 1
auditd_num_logs: 5
auditd_space_left: 75
auditd_space_left_action: email
grub_audit_backlog_cmdline: audit_backlog_limit=8192
grub_audit_cmdline: audit=1

Включите auditd при загрузке с помощью Grub.

Когда auditd_apply_audit_rules: 'yes', роль применяет правила auditd из включенного шаблона.

auditd_action_mail_acct должен быть действительным адресом электронной почты или псевдонимом.

auditd_admin_space_left_action определяет, какое действие предпринять, когда система определяет, что осталось недостаточно места на диске. suspend приведет к остановке записи аудита на диск.

auditd_max_log_file_action устанавливает, какое действие предпринять, когда система определяет, что достигнут максимальный лимит размера файла. Например, опция rotate приведет к вращению логов, а опция keep_logs предотвратит перезапись логов.

auditd_space_left_action указывает, какое действие предпринять, когда система определяет, что осталось недостаточно места на диске. email означает отправку предупреждения на указанный адрес электронной почты в action_mail_acct, а также отправку сообщения в syslog.

auditd_mode устанавливает режим отказа для auditd, 0=тишина 1=печать 2=паника.

auditd.conf(5)

./defaults/main/compilers.yml

compilers:
  - as
  - cargo
  - cc
  - cc-[0-9]*
  - clang-[0-9]*
  - gcc
  - gcc-[0-9]*
  - go
  - make
  - rustc

Список компиляторов, которые будут ограничены для пользователя root.

./defaults/main/disablewireless.yml

disable_wireless: false

Если true, отключает все беспроводные интерфейсы.

./defaults/main/dns.yml

dns: 127.0.0.1 1.1.1.1
fallback_dns: 9.9.9.9 1.0.0.1
dnssec: allow-downgrade
dns_over_tls: opportunistic

IPv4 и IPv6 адреса для использования в качестве системных и резервных DNS-серверов.
Если dnssec установлено на "allow-downgrade", то будет попытка валидации DNSSEC, но если сервер не поддерживает DNSSEC должным образом, режим DNSSEC автоматически отключается.

Если dns_over_tls истинно, все подключения к серверу будут зашифрованы, если DNS-сервер поддерживает DNS-over-TLS и имеет действительный сертификат.

systemd опция.

./defaults/main/ipv6.yml

disable_ipv6: false
ipv6_disable_sysctl_settings:
  net.ipv6.conf.all.disable_ipv6: 1
  net.ipv6.conf.default.disable_ipv6: 1

Если disable_ipv6: true, IPv6 будет отключен.

./defaults/main/limits.yml

limit_nofile_hard: 1024
limit_nofile_soft: 512
limit_nproc_hard: 1024
limit_nproc_soft: 512

Максимальное число процессов и открытых файлов.

./defaults/main/misc.yml

install_aide: true
reboot_ubuntu: false
redhat_signing_keys:
  - 567E347AD0044ADE55BA8A5F199E2F91FD431D51
  - 47DB287789B21722B6D95DDE5326810137017186
epel7_signing_keys:
  - 91E97D7C4A5E96F17F3E888F6A2FAEA2352C64E5
epel8_signing_keys:
  - 94E279EB8D8F25B21810ADF121EA45AB2F86D6A1
epel9_signing_keys:
  - FF8AD1344597106ECE813B918A3872BF3228467C

Если install_aide: true, то будет установлен и сконфигурирован AIDE.

Если reboot_ubuntu: true, узел Ubuntu будет перезагружен при необходимости.

redhat_signing_keys это ключи подписи продуктов RedHat.

Ключи подписи для epel7, epel8 и epel9 являются специфичными для релиза ключами подписи Fedora EPEL.

./defaults/main/module_blocklists.yml

block_blacklisted: false
fs_modules_blocklist:
  - cramfs
  - freevxfs
  - hfs
  - hfsplus
  - jffs2
  - squashfs
  - udf
misc_modules_blocklist:
  - bluetooth
  - bnep
  - btusb
  - can
  - cpia2
  - firewire-core
  - floppy
  - n_hdlc
  - net-pf-31
  - pcspkr
  - soundcore
  - thunderbolt
  - usb-midi
  - usb-storage
  - uvcvideo
  - v4l2_common
net_modules_blocklist:
  - atm
  - dccp
  - sctp
  - rds
  - tipc

Заблокированные модули ядра.

Установка block_blacklisted: true заблокирует или отключит любое автоматическое подключение черных модулей ядра. Это делается, чтобы предотвратить их загрузку вручную с помощью modprobe module_name. Использование install module_name /bin/true этому препятствует.

./defaults/main/mount.yml

hide_pid: 2
process_group: root

hide_pid устанавливает режим доступа к /proc/<pid>/.

Настройка process_group конфигурирует группу, которой разрешен доступ к информации о процессах, иначе запрещенной hidepid=.

/proc mount options

./defaults/main/ntp.yml

fallback_ntp: 2.ubuntu.pool.ntp.org 3.ubuntu.pool.ntp.org
ntp: 0.ubuntu.pool.ntp.org 1.ubuntu.pool.ntp.org

Имена хостов или IP адреса серверов NTP. systemd опция.

./defaults/main/packages.yml

system_upgrade: true
packages_blocklist:
  - apport*
  - autofs
  - avahi*
  - avahi-*
  - beep
  - git
  - pastebinit
  - popularity-contest
  - prelink
  - rpcbind
  - rsh*
  - rsync
  - talk*
  - telnet*
  - tftp*
  - whoopsie
  - xinetd
  - yp-tools
  - ypbind
packages_debian:
  - acct
  - apparmor-profiles
  - apparmor-utils
  - apt-show-versions
  - audispd-plugins
  - auditd
  - cracklib-runtime
  - debsums
  - gnupg2
  - haveged
  - libpam-apparmor
  - libpam-cap
  - libpam-modules
  - libpam-pwquality
  - libpam-tmpdir
  - lsb-release
  - needrestart
  - openssh-server
  - postfix
  - rkhunter
  - rsyslog
  - sysstat
  - tcpd
  - vlock
  - wamerican
packages_redhat:
  - audispd-plugins
  - audit
  - cracklib
  - gnupg2
  - haveged
  - libpwquality
  - openssh-server
  - needrestart
  - postfix
  - psacct
  - rkhunter
  - rsyslog
  - rsyslog-gnutls
  - vlock
  - words
packages_ubuntu:
  - fwupd
  - secureboot-db

Если system_upgrade: 'yes', будет выполнен apt upgrade или dnf update, если это необходимо.

Пакеты для установки в зависимости от дистрибутива и пакеты для удаления (packages_blocklist).

./defaults/main/password.yml

crypto_policy: FIPS
pwquality_config:
  dcredit: -1
  dictcheck: 1
  difok: 8
  enforcing: 1
  lcredit: -1
  maxclassrepeat: 4
  maxrepeat: 3
  minclass: 4
  minlen: 15
  ocredit: -1
  ucredit: -1

Установите криптографические политики, если существует /etc/crypto-policies/config.

Настройте библиотеку libpwquality.

./defaults/main/sshd.yml

sshd_accept_env: LANG LC_*
sshd_admin_net:
  - 192.168.0.0/24
  - 192.168.1.0/24
sshd_allow_agent_forwarding: 'no'
sshd_allow_groups: sudo
sshd_allow_tcp_forwarding: 'no'
sshd_authentication_methods: any
sshd_banner: /etc/issue.net
sshd_challenge_response_authentication: 'no'
sshd_ciphers: [email protected],[email protected],aes256-ctr
sshd_client_alive_count_max: 1
sshd_client_alive_interval: 200
sshd_compression: 'no'
sshd_gssapi_authentication: 'no'
sshd_hostbased_authentication: 'no'
sshd_host_key_algorithms: [email protected],[email protected],ssh-ed25519,ssh-rsa,[email protected],[email protected],[email protected],ecdsa-sha2-nistp521,ecdsa-sha2-nistp384,ecdsa-sha2-nistp256
sshd_ignore_user_known_hosts: 'yes'
sshd_kerberos_authentication: 'no'
sshd_kex_algorithms: [email protected],ecdh-sha2-nistp521,ecdh-sha2-nistp384,ecdh-sha2-nistp256,diffie-hellman-group-exchange-sha256
sshd_login_grace_time: 20
sshd_log_level: VERBOSE
sshd_macs: [email protected],[email protected],hmac-sha2-512,hmac-sha2-256
sshd_max_auth_tries: 3
sshd_max_sessions: 3
sshd_max_startups: 10:30:60
sshd_password_authentication: 'no'
sshd_permit_empty_passwords: 'no'
sshd_permit_root_login: 'no'
sshd_permit_user_environment: 'no'
sshd_port: 22
sshd_print_last_log: 'yes'
sshd_print_motd: 'no'
sshd_rekey_limit: 512M 1h
sshd_required_rsa_size: 2048
sshd_strict_modes: 'yes'
sshd_subsystem: sftp internal-sftp
sshd_tcp_keep_alive: 'no'
sshd_use_dns: 'no'
sshd_use_pam: 'yes'
sshd_x11_forwarding: 'no'

Для объяснения опций, не описанных ниже, пожалуйста, прочитайте https://man.openbsd.org/sshd_config.

Только сети, определенные в sshd_admin_net, могут подключаться к sshd_port. Обратите внимание, что необходимо настроить дополнительные правила, чтобы разрешить доступ к другим сервисам.

Вход в OpenSSH разрешен только пользователям, чей основной или дополнительный список групп соответствует одному из шаблонов в sshd_allow_groups.

sshd_allow_agent_forwarding указывает, разрешено ли пересылка ssh-agent(1).

sshd_allow_tcp_forwarding указывает, разрешена ли пересылка TCP. Доступные варианты: yes для разрешения пересылки TCP, no для запрета всей пересылки TCP, local для разрешения только локальной пересылки или remote для разрешения только удаленной пересылки.

sshd_authentication_methods указывает методы аутентификации, которые должны быть успешно завершены для получения доступа к пользователю.

sshd_log_level определяет уровень подробности при записи сообщений.

sshd_max_auth_tries и sshd_max_sessions указывают максимальное количество попыток аутентификации SSH на одно подключение и максимальное количество открытых сеансов оболочки, входа или подсистемы (например, sftp), разрешенных на одно сетевое подключение.

sshd_password_authentication указывает, разрешена ли аутентификация по паролю.

sshd_port указывает номер порта, на котором прослушивает sshd(8).

sshd_required_rsa_size, RequiredRSASize, будет установлен только в том случае, если версия SSH выше 9.1.

./defaults/main/suid_sgid_blocklist.yml

suid_sgid_permissions: true
suid_sgid_blocklist:
  - ansible-playbook
  - ar
  - as
  - at
  - awk
  - base32
  - base64
  - bash
  - busctl
  - busybox
  [...]

Если suid_sgid_permissions: true, пройдет по suid_sgid_blocklist и удалит любые права SUID/SGID.

Полный список файлов доступен в defaults/main/suid_sgid_blocklist.yml.

./defaults/main/sysctl.yml

sysctl_dev_tty_ldisc_autoload: 0
sysctl_net_ipv6_conf_accept_ra_rtr_pref: 0

ipv4_sysctl_settings:
  net.ipv4.conf.all.accept_redirects: 0
  net.ipv4.conf.all.accept_source_route: 0
  net.ipv4.conf.all.log_martians: 1
  net.ipv4.conf.all.rp_filter: 1
  net.ipv4.conf.all.secure_redirects: 0
  net.ipv4.conf.all.send_redirects: 0
  net.ipv4.conf.all.shared_media: 0
  net.ipv4.conf.default.accept_redirects: 0
  net.ipv4.conf.default.accept_source_route: 0
  net.ipv4.conf.default.log_martians: 1
  net.ipv4.conf.default.rp_filter: 1
  net.ipv4.conf.default.secure_redirects: 0
  net.ipv4.conf.default.send_redirects: 0
  net.ipv4.conf.default.shared_media: 0
  net.ipv4.icmp_echo_ignore_broadcasts: 1
  net.ipv4.icmp_ignore_bogus_error_responses: 1
  net.ipv4.ip_forward: 0
  net.ipv4.tcp_challenge_ack_limit: 2147483647
  net.ipv4.tcp_invalid_ratelimit: 500
  net.ipv4.tcp_max_syn_backlog: 20480
  net.ipv4.tcp_rfc1337: 1
  net.ipv4.tcp_syn_retries: 5
  net.ipv4.tcp_synack_retries: 2
  net.ipv4.tcp_syncookies: 1

ipv6_sysctl_settings:
  net.ipv6.conf.all.accept_ra: 0
  net.ipv6.conf.all.accept_redirects: 0
  net.ipv6.conf.all.accept_source_route: 0
  net.ipv6.conf.all.forwarding: 0
  net.ipv6.conf.all.use_tempaddr: 2
  net.ipv6.conf.default.accept_ra: 0
  net.ipv6.conf.default.accept_ra_defrtr: 0
  net.ipv6.conf.default.accept_ra_pinfo: 0
  net.ipv6.conf.default.accept_ra_rtr_pref: 0
  net.ipv6.conf.default.accept_redirects: 0
  net.ipv6.conf.default.accept_source_route: 0
  net.ipv6.conf.default.autoconf: 0
  net.ipv6.conf.default.dad_transmits: 0
  net.ipv6.conf.default.max_addresses: 1
  net.ipv6.conf.default.router_solicitations: 0
  net.ipv6.conf.default.use_tempaddr: 2

generic_sysctl_settings:
  fs.protected_fifos: 2
  fs.protected_hardlinks: 1
  fs.protected_symlinks: 1
  fs.suid_dumpable: 0
  kernel.core_uses_pid: 1
  kernel.dmesg_restrict: 1
  kernel.kptr_restrict: 2
  kernel.panic: 60
  kernel.panic_on_oops: 60
  kernel.perf_event_paranoid: 3
  kernel.randomize_va_space: 2
  kernel.sysrq: 0
  kernel.unprivileged_bpf_disabled: 1
  kernel.yama.ptrace_scope: 2
  net.core.bpf_jit_harden: 2

conntrack_sysctl_settings:
  net.netfilter.nf_conntrack_max: 2000000
  net.netfilter.nf_conntrack_tcp_loose: 0

Конфигурация sysctl.

sysctl.conf

./defaults/main/ufw.yml

ufw_enable: true
ufw_outgoing_traffic:
  - 22
  - 53
  - 80
  - 123
  - 443
  - 853

ufw_enable: true устанавливает и настраивает ufw с соответствующими правилами. Установите значение false, чтобы установить и настроить брандмауэр вручную.
ufw_outgoing_traffic открывает определенные порты ufw, разрешая исходящий трафик.

./defaults/main/users.yml

delete_users:
  - games
  - gnats
  - irc
  - list
  - news
  - sync
  - uucp

Пользователи, которых нужно удалить.

Рекомендуемая литература

Сравнение значений DISA STIG и CIS Benchmark

Бенчмарки безопасности Центра Интернета

Общие Конфигурационные Перечисления

Руководства по технической реализации безопасности DISA

Руководства безопасности SCAP

Конфигурация systemd с фокусом на безопасность

Вклад

Хотите внести свой вклад? Отлично! Вклады всегда приветствуются, независимо от их размера. Если вы заметили что-то странное, не стесняйтесь подавать заявку, улучшать код, создавая запрос на изменение, или поддерживать этот проект.

Лицензия

Лицензия Apache версии 2.0

Информация об авторе

https://github.com/thechip911

О проекте

AlmaLinux, Debian and Ubuntu hardening. systemd edition.

Установить
ansible-galaxy install thechip911/ansible_role_hardening
Лицензия
apache-2.0
Загрузки
97
Владелец