opstree_devops.linux_armour

Ansible 角色：osm_linux_armour

这个 Ansible 角色用于根据 CIS 基准检查 Ubuntu 的审核。

序号	服务	检查内容
1.	特殊用途服务	确保 Avahi、DHCP、LDAP 服务器未启用
2.	服务客户端	确保未安装 rsh、telnet、LDAP 客户端
3.	inetd 服务	确保未安装 telnet 服务器、废弃服务和 rsh 服务器
4.	日志与审计	确保审计守护进程 auditd 已安装并启用，审计日志存储大小，审计日志满时系统禁用，审计日志不自动删除，收集登录和登出事件，收集会话启动信息
5.	文件系统配置	禁用未使用的文件系统，确保所有可写目录都设置了粘滞位（如有错误，请使用参数可执行文件：/bin/bash），禁用自动挂载。
6.	系统文件权限	确保 passwd、passwd-、group、group-、shadow、shadow-、gshadow、gshadow- 配置正确
7.	文件系统完整性检查	确保定期检查文件系统完整性
8.	额外的进程加固	确保核心转储受限并禁用 prelink
9.	网络主机配置	确保禁用 IP 转发和数据包重定向，并记录可疑数据包
10.	网络主机和路由器配置	确保忽略虚假 ICMP 响应，启用反向路径过滤，启用 TCP SYN Cookies
11.	TCP Wrapper	确保 /etc/hosts.allow 和 /etc/hosts.deny 的权限配置正确
12.	不常用网络协议	确保禁用 DCCP 和 SCTP
13.	安全启动设置	确保引导加载程序配置的权限已配置，并且单用户模式需要认证
14.	强制访问控制	检查状态，确保 SETroubleshoot 未安装和启用

日期	版本	描述	修改者
2月27日	v0.0.1	根据重要的（得分）CIS 基准增强操作系统（ubuntu）	Anjali Singh
8月8日	v0.0.2	增加对 Centos 的支持	Anjali Singh

变量分为两类：强制和可选。强制变量是根据 CIS 基准必须配置的变量，而可选变量则取决于所使用的服务。可选变量可以根据需要启用或禁用。

变量	默认值	描述
System_File_Permissions	host.conf, hostname, hosts, hosts.allow, hosts.deny, passwd, passwd-, shadow, shadow-, gshadow, gshadow-, group, group-	权限将更改的特殊文件
os_packages_clean	true	删除不再使用的软件包
os_packages_list	xinetd, inetd, ypserv, telnet-server, telnet-client, rsh-server, rsh-client, prelink, openldap-clients, openldap2-client, ldap-utils	如果不需要则禁用这些服务
audit_package	auditd	用于记录所有日志

变量	可选值	描述
os_services_name	avahi-daemon, dhcpd, slapd, named	如果不需要可以停止的特殊服务
audit_max_log_file	5	需要保留的日志文件数量
os_audit_max_log_file_action	keep_logs	保留日志

清单应如下所示：

[osconfig]                 
192.168.1.198    ansible_user=ubuntu

---
- name: 操作系统审计
  hosts: osconfig
  become: true
  roles:
    - role: osm_linux_armour

将根据 2020 年 CIS 基准进行更新。

关于项目

安装

ansible-galaxy install opstree_devops.linux_armour

GitHub 仓库

许可证

Unknown

下载

334

拥有者