hardening
Укрепление - роль Ansible
Роль Ansible для повышения безопасности серверов AlmaLinux, Debian или Ubuntu.
Версия systemd.
Требуется Ansible версии >= 2.12.
Доступно на Ansible Galaxy.
Поддерживаются: AlmaLinux 8, Debian 11, Ubuntu 20.04 LTS (Focal Fossa) и 22.04 LTS (Jammy Jellyfish).
Примечание
Не используйте эту роль без предварительного тестирования в нерабочей среде.
Примечание
В работе SLSA присутствует артефакт для проверки в рабочем процессе действия slsa.
Зависимости
Нет.
Примеры
Плейбук
---
- hosts: localhost
any_errors_fatal: true
tasks:
- name: Включить роль укладки
ansible.builtin.include_role:
name: thechip911.hardening
vars:
block_blacklisted: true
sshd_admin_net:
- 10.0.0.0/16
suid_sgid_permissions: false
...
ansible-pull с git checkout
---
- hosts: localhost
any_errors_fatal: true
tasks:
- name: Установить git
become: true
ansible.builtin.package:
name: git
state: present
- name: Проверить роль thechip911.hardening
become: true
ansible.builtin.git:
repo: 'https://github.com/thechip911/ansible-role-hardening'
dest: /etc/ansible/roles/thechip911.hardening
version: master
- name: Включить роль укладки
ansible.builtin.include_role:
name: thechip911.hardening
vars:
block_blacklisted: true
sshd_admin_net:
- 10.0.2.0/16
suid_sgid_permissions: false
...
Примечание о правилах брандмауэра UFW
Вместо сброса ufw при каждом запуске и тем самым вызова сетевых перебоев, роль удаляет все правила ufw, не имеющие параметра и значения comment: ansible managed.
Роль также устанавливает политики по умолчанию для запрета, что означает, что необходимо создать правила брандмауэра для любых дополнительных портов, кроме тех, которые указаны в переменных sshd_port и ufw_outgoing_traffic.
Выполнение задач и структура
См. STRUCTURE.md для дерева структуры роли.
Тестирование роли
См. TESTING.md.
Переменные роли по умолчанию
./defaults/main/auditd.yml
auditd_apply_audit_rules: true
auditd_action_mail_acct: root
auditd_admin_space_left_action: suspend
auditd_disk_error_action: suspend
auditd_disk_full_action: suspend
auditd_max_log_file: 8
auditd_max_log_file_action: keep_logs
auditd_mode: 1
auditd_num_logs: 5
auditd_space_left: 75
auditd_space_left_action: email
grub_audit_backlog_cmdline: audit_backlog_limit=8192
grub_audit_cmdline: audit=1
Включите auditd при загрузке с помощью Grub.
Когда auditd_apply_audit_rules: 'yes', роль применяет правила auditd из включенного шаблона.
auditd_action_mail_acct должен быть действительным адресом электронной почты или псевдонимом.
auditd_admin_space_left_action определяет, какое действие предпринять, когда система определяет, что осталось недостаточно места на диске. suspend приведет к остановке записи аудита на диск.
auditd_max_log_file_action устанавливает, какое действие предпринять, когда система определяет, что достигнут максимальный лимит размера файла. Например, опция rotate приведет к вращению логов, а опция keep_logs предотвратит перезапись логов.
auditd_space_left_action указывает, какое действие предпринять, когда система определяет, что осталось недостаточно места на диске. email означает отправку предупреждения на указанный адрес электронной почты в action_mail_acct, а также отправку сообщения в syslog.
auditd_mode устанавливает режим отказа для auditd, 0=тишина 1=печать 2=паника.
./defaults/main/compilers.yml
compilers:
- as
- cargo
- cc
- cc-[0-9]*
- clang-[0-9]*
- gcc
- gcc-[0-9]*
- go
- make
- rustc
Список компиляторов, которые будут ограничены для пользователя root.
./defaults/main/disablewireless.yml
disable_wireless: false
Если true, отключает все беспроводные интерфейсы.
./defaults/main/dns.yml
dns: 127.0.0.1 1.1.1.1
fallback_dns: 9.9.9.9 1.0.0.1
dnssec: allow-downgrade
dns_over_tls: opportunistic
IPv4 и IPv6 адреса для использования в качестве системных и резервных DNS-серверов.
Если dnssec установлено на "allow-downgrade", то будет попытка валидации DNSSEC, но если сервер не поддерживает DNSSEC должным образом, режим DNSSEC автоматически отключается.
Если dns_over_tls истинно, все подключения к серверу будут зашифрованы, если DNS-сервер поддерживает DNS-over-TLS и имеет действительный сертификат.
systemd опция.
./defaults/main/ipv6.yml
disable_ipv6: false
ipv6_disable_sysctl_settings:
net.ipv6.conf.all.disable_ipv6: 1
net.ipv6.conf.default.disable_ipv6: 1
Если disable_ipv6: true, IPv6 будет отключен.
./defaults/main/limits.yml
limit_nofile_hard: 1024
limit_nofile_soft: 512
limit_nproc_hard: 1024
limit_nproc_soft: 512
Максимальное число процессов и открытых файлов.
./defaults/main/misc.yml
install_aide: true
reboot_ubuntu: false
redhat_signing_keys:
- 567E347AD0044ADE55BA8A5F199E2F91FD431D51
- 47DB287789B21722B6D95DDE5326810137017186
epel7_signing_keys:
- 91E97D7C4A5E96F17F3E888F6A2FAEA2352C64E5
epel8_signing_keys:
- 94E279EB8D8F25B21810ADF121EA45AB2F86D6A1
epel9_signing_keys:
- FF8AD1344597106ECE813B918A3872BF3228467C
Если install_aide: true, то будет установлен и сконфигурирован AIDE.
Если reboot_ubuntu: true, узел Ubuntu будет перезагружен при необходимости.
redhat_signing_keys это ключи подписи продуктов RedHat.
Ключи подписи для epel7, epel8 и epel9 являются специфичными для релиза ключами подписи Fedora EPEL.
./defaults/main/module_blocklists.yml
block_blacklisted: false
fs_modules_blocklist:
- cramfs
- freevxfs
- hfs
- hfsplus
- jffs2
- squashfs
- udf
misc_modules_blocklist:
- bluetooth
- bnep
- btusb
- can
- cpia2
- firewire-core
- floppy
- n_hdlc
- net-pf-31
- pcspkr
- soundcore
- thunderbolt
- usb-midi
- usb-storage
- uvcvideo
- v4l2_common
net_modules_blocklist:
- atm
- dccp
- sctp
- rds
- tipc
Заблокированные модули ядра.
Установка block_blacklisted: true заблокирует или отключит любое автоматическое подключение черных модулей ядра. Это делается, чтобы предотвратить их загрузку вручную с помощью modprobe module_name. Использование install module_name /bin/true этому препятствует.
./defaults/main/mount.yml
hide_pid: 2
process_group: root
hide_pid устанавливает режим доступа к /proc/<pid>/.
Настройка process_group конфигурирует группу, которой разрешен доступ к информации о процессах, иначе запрещенной hidepid=.
./defaults/main/ntp.yml
fallback_ntp: 2.ubuntu.pool.ntp.org 3.ubuntu.pool.ntp.org
ntp: 0.ubuntu.pool.ntp.org 1.ubuntu.pool.ntp.org
Имена хостов или IP адреса серверов NTP. systemd опция.
./defaults/main/packages.yml
system_upgrade: true
packages_blocklist:
- apport*
- autofs
- avahi*
- avahi-*
- beep
- git
- pastebinit
- popularity-contest
- prelink
- rpcbind
- rsh*
- rsync
- talk*
- telnet*
- tftp*
- whoopsie
- xinetd
- yp-tools
- ypbind
packages_debian:
- acct
- apparmor-profiles
- apparmor-utils
- apt-show-versions
- audispd-plugins
- auditd
- cracklib-runtime
- debsums
- gnupg2
- haveged
- libpam-apparmor
- libpam-cap
- libpam-modules
- libpam-pwquality
- libpam-tmpdir
- lsb-release
- needrestart
- openssh-server
- postfix
- rkhunter
- rsyslog
- sysstat
- tcpd
- vlock
- wamerican
packages_redhat:
- audispd-plugins
- audit
- cracklib
- gnupg2
- haveged
- libpwquality
- openssh-server
- needrestart
- postfix
- psacct
- rkhunter
- rsyslog
- rsyslog-gnutls
- vlock
- words
packages_ubuntu:
- fwupd
- secureboot-db
Если system_upgrade: 'yes', будет выполнен apt upgrade или dnf update, если это необходимо.
Пакеты для установки в зависимости от дистрибутива и пакеты для удаления (packages_blocklist).
./defaults/main/password.yml
crypto_policy: FIPS
pwquality_config:
dcredit: -1
dictcheck: 1
difok: 8
enforcing: 1
lcredit: -1
maxclassrepeat: 4
maxrepeat: 3
minclass: 4
minlen: 15
ocredit: -1
ucredit: -1
Установите криптографические политики, если существует /etc/crypto-policies/config.
Настройте библиотеку libpwquality.
./defaults/main/sshd.yml
sshd_accept_env: LANG LC_*
sshd_admin_net:
- 192.168.0.0/24
- 192.168.1.0/24
sshd_allow_agent_forwarding: 'no'
sshd_allow_groups: sudo
sshd_allow_tcp_forwarding: 'no'
sshd_authentication_methods: any
sshd_banner: /etc/issue.net
sshd_challenge_response_authentication: 'no'
sshd_ciphers: [email protected],[email protected],aes256-ctr
sshd_client_alive_count_max: 1
sshd_client_alive_interval: 200
sshd_compression: 'no'
sshd_gssapi_authentication: 'no'
sshd_hostbased_authentication: 'no'
sshd_host_key_algorithms: [email protected],[email protected],ssh-ed25519,ssh-rsa,[email protected],[email protected],[email protected],ecdsa-sha2-nistp521,ecdsa-sha2-nistp384,ecdsa-sha2-nistp256
sshd_ignore_user_known_hosts: 'yes'
sshd_kerberos_authentication: 'no'
sshd_kex_algorithms: [email protected],ecdh-sha2-nistp521,ecdh-sha2-nistp384,ecdh-sha2-nistp256,diffie-hellman-group-exchange-sha256
sshd_login_grace_time: 20
sshd_log_level: VERBOSE
sshd_macs: [email protected],[email protected],hmac-sha2-512,hmac-sha2-256
sshd_max_auth_tries: 3
sshd_max_sessions: 3
sshd_max_startups: 10:30:60
sshd_password_authentication: 'no'
sshd_permit_empty_passwords: 'no'
sshd_permit_root_login: 'no'
sshd_permit_user_environment: 'no'
sshd_port: 22
sshd_print_last_log: 'yes'
sshd_print_motd: 'no'
sshd_rekey_limit: 512M 1h
sshd_required_rsa_size: 2048
sshd_strict_modes: 'yes'
sshd_subsystem: sftp internal-sftp
sshd_tcp_keep_alive: 'no'
sshd_use_dns: 'no'
sshd_use_pam: 'yes'
sshd_x11_forwarding: 'no'
Для объяснения опций, не описанных ниже, пожалуйста, прочитайте https://man.openbsd.org/sshd_config.
Только сети, определенные в sshd_admin_net, могут подключаться к sshd_port. Обратите внимание, что необходимо настроить дополнительные правила, чтобы разрешить доступ к другим сервисам.
Вход в OpenSSH разрешен только пользователям, чей основной или дополнительный список групп соответствует одному из шаблонов в sshd_allow_groups.
sshd_allow_agent_forwarding указывает, разрешено ли пересылка ssh-agent(1).
sshd_allow_tcp_forwarding указывает, разрешена ли пересылка TCP. Доступные варианты: yes для разрешения пересылки TCP, no для запрета всей пересылки TCP, local для разрешения только локальной пересылки или remote для разрешения только удаленной пересылки.
sshd_authentication_methods указывает методы аутентификации, которые должны быть успешно завершены для получения доступа к пользователю.
sshd_log_level определяет уровень подробности при записи сообщений.
sshd_max_auth_tries и sshd_max_sessions указывают максимальное количество попыток аутентификации SSH на одно подключение и максимальное количество открытых сеансов оболочки, входа или подсистемы (например, sftp), разрешенных на одно сетевое подключение.
sshd_password_authentication указывает, разрешена ли аутентификация по паролю.
sshd_port указывает номер порта, на котором прослушивает sshd(8).
sshd_required_rsa_size, RequiredRSASize, будет установлен только в том случае, если версия SSH выше 9.1.
./defaults/main/suid_sgid_blocklist.yml
suid_sgid_permissions: true
suid_sgid_blocklist:
- ansible-playbook
- ar
- as
- at
- awk
- base32
- base64
- bash
- busctl
- busybox
[...]
Если suid_sgid_permissions: true, пройдет по suid_sgid_blocklist и удалит любые права SUID/SGID.
Полный список файлов доступен в defaults/main/suid_sgid_blocklist.yml.
./defaults/main/sysctl.yml
sysctl_dev_tty_ldisc_autoload: 0
sysctl_net_ipv6_conf_accept_ra_rtr_pref: 0
ipv4_sysctl_settings:
net.ipv4.conf.all.accept_redirects: 0
net.ipv4.conf.all.accept_source_route: 0
net.ipv4.conf.all.log_martians: 1
net.ipv4.conf.all.rp_filter: 1
net.ipv4.conf.all.secure_redirects: 0
net.ipv4.conf.all.send_redirects: 0
net.ipv4.conf.all.shared_media: 0
net.ipv4.conf.default.accept_redirects: 0
net.ipv4.conf.default.accept_source_route: 0
net.ipv4.conf.default.log_martians: 1
net.ipv4.conf.default.rp_filter: 1
net.ipv4.conf.default.secure_redirects: 0
net.ipv4.conf.default.send_redirects: 0
net.ipv4.conf.default.shared_media: 0
net.ipv4.icmp_echo_ignore_broadcasts: 1
net.ipv4.icmp_ignore_bogus_error_responses: 1
net.ipv4.ip_forward: 0
net.ipv4.tcp_challenge_ack_limit: 2147483647
net.ipv4.tcp_invalid_ratelimit: 500
net.ipv4.tcp_max_syn_backlog: 20480
net.ipv4.tcp_rfc1337: 1
net.ipv4.tcp_syn_retries: 5
net.ipv4.tcp_synack_retries: 2
net.ipv4.tcp_syncookies: 1
ipv6_sysctl_settings:
net.ipv6.conf.all.accept_ra: 0
net.ipv6.conf.all.accept_redirects: 0
net.ipv6.conf.all.accept_source_route: 0
net.ipv6.conf.all.forwarding: 0
net.ipv6.conf.all.use_tempaddr: 2
net.ipv6.conf.default.accept_ra: 0
net.ipv6.conf.default.accept_ra_defrtr: 0
net.ipv6.conf.default.accept_ra_pinfo: 0
net.ipv6.conf.default.accept_ra_rtr_pref: 0
net.ipv6.conf.default.accept_redirects: 0
net.ipv6.conf.default.accept_source_route: 0
net.ipv6.conf.default.autoconf: 0
net.ipv6.conf.default.dad_transmits: 0
net.ipv6.conf.default.max_addresses: 1
net.ipv6.conf.default.router_solicitations: 0
net.ipv6.conf.default.use_tempaddr: 2
generic_sysctl_settings:
fs.protected_fifos: 2
fs.protected_hardlinks: 1
fs.protected_symlinks: 1
fs.suid_dumpable: 0
kernel.core_uses_pid: 1
kernel.dmesg_restrict: 1
kernel.kptr_restrict: 2
kernel.panic: 60
kernel.panic_on_oops: 60
kernel.perf_event_paranoid: 3
kernel.randomize_va_space: 2
kernel.sysrq: 0
kernel.unprivileged_bpf_disabled: 1
kernel.yama.ptrace_scope: 2
net.core.bpf_jit_harden: 2
conntrack_sysctl_settings:
net.netfilter.nf_conntrack_max: 2000000
net.netfilter.nf_conntrack_tcp_loose: 0
Конфигурация sysctl.
./defaults/main/ufw.yml
ufw_enable: true
ufw_outgoing_traffic:
- 22
- 53
- 80
- 123
- 443
- 853
ufw_enable: true устанавливает и настраивает ufw с соответствующими правилами. Установите значение false, чтобы установить и настроить брандмауэр вручную.ufw_outgoing_traffic открывает определенные порты ufw, разрешая исходящий трафик.
./defaults/main/users.yml
delete_users:
- games
- gnats
- irc
- list
- news
- sync
- uucp
Пользователи, которых нужно удалить.
Рекомендуемая литература
Сравнение значений DISA STIG и CIS Benchmark
Бенчмарки безопасности Центра Интернета
Общие Конфигурационные Перечисления
Руководства по технической реализации безопасности DISA
Конфигурация systemd с фокусом на безопасность
Вклад
Хотите внести свой вклад? Отлично! Вклады всегда приветствуются, независимо от их размера. Если вы заметили что-то странное, не стесняйтесь подавать заявку, улучшать код, создавая запрос на изменение, или поддерживать этот проект.
Лицензия
Лицензия Apache версии 2.0
Информация об авторе
AlmaLinux, Debian and Ubuntu hardening. systemd edition.
ansible-galaxy install thechip911/ansible_role_hardening