florianutz.Ubuntu1604-CIS

概述 版本 洞察

Ubuntu 16.04 CIS STIG

构建状态 Ansible 角色

配置 Ubuntu 16.04 机器以符合 CIS 标准。默认会修正第 1 和第 2 级的问题。

此角色 将对系统进行更改,可能会导致系统出现问题。它不是审计工具,而是一种在审计后用于修复的工具。

重要安装步骤

如果您希望通过 ansible-galaxy 命令安装,请像这样运行:

ansible-galaxy install -p roles -r requirements.yml

requirements.yml 文件中添加:

- src: https://github.com/florianutz/Ubuntu1604-CIS.git

基于 CIS Ubuntu 基准 v1.1.0 - 2017年12月28日

此库源于 MindPointGroup 的工作。

要求

在运行这个剧本之前,您应该仔细阅读任务,以确保这些更改不会破坏您的系统。

角色变量

defaults/main.yml 中定义了许多角色变量。下面列出最重要的几个。

ubuntu1604cis_notauto:运行我们通常不想自动化的 CIS 检查,因为这些检查可能会高度破坏系统(默认:false)

ubuntu1604cis_section1:CIS - 一般设置(第 1 部分)(默认:true)

ubuntu1604cis_section2:CIS - 服务设置(第 2 部分)(默认:true)

ubuntu1604cis_section3:CIS - 网络设置(第 3 部分)(默认:true)

ubuntu1604cis_section4:CIS - 日志和审计设置(第 4 部分)(默认:true)

ubuntu1604cis_section5:CIS - 访问、身份验证和授权设置(第 5 部分)(默认:true)

ubuntu1604cis_section6:CIS - 系统维护设置(第 6 部分)(默认:true)

禁用所有 selinux 功能

ubuntu1604cis_selinux_disable: false

服务变量:
这些控制服务器是否被允许继续运行这些服务
ubuntu1604cis_avahi_server: false  
ubuntu1604cis_cups_server: false  
ubuntu1604cis_dhcp_server: false  
ubuntu1604cis_ldap_server: false  
ubuntu1604cis_telnet_server: false  
ubuntu1604cis_nfs_server: false  
ubuntu1604cis_rpc_server: false  
ubuntu1604cis_ntalk_server: false  
ubuntu1604cis_rsyncd_server: false  
ubuntu1604cis_tftp_server: false  
ubuntu1604cis_rsh_server: false  
ubuntu1604cis_nis_server: false  
ubuntu1604cis_snmp_server: false  
ubuntu1604cis_squid_server: false  
ubuntu1604cis_smb_server: false  
ubuntu1604cis_dovecot_server: false  
ubuntu1604cis_httpd_server: false  
ubuntu1604cis_vsftpd_server: false  
ubuntu1604cis_named_server: false  
ubuntu1604cis_bind: false  
ubuntu1604cis_vsftpd: false  
ubuntu1604cis_httpd: false  
ubuntu1604cis_dovecot: false  
ubuntu1604cis_samba: false  
ubuntu1604cis_squid: false  
ubuntu1604cis_net_snmp: false
将服务器指定为邮件服务器

ubuntu1604cis_is_mail_server: false

系统网络参数(仅主机或主机和路由器)

ubuntu1604cis_is_router: false

要求 IPv6

ubuntu1604cis_ipv6_required: true

AIDE

ubuntu1604cis_config_aide: true

AIDE cron 设置
ubuntu1604cis_aide_cron:
  cron_user: root
  cron_file: /etc/crontab
  aide_job: '/usr/sbin/aide --check'
  aide_minute: 0
  aide_hour: 5
  aide_day: '*'
  aide_month: '*'
  aide_weekday: '*'
SELinux 策略

ubuntu1604cis_selinux_pol: targeted

如果在您的环境中需要 X Windows,则设置为 'true'

ubuntu1604cis_xwindows_required: no

客户端应用程序要求
ubuntu1604cis_openldap_clients_required: false
ubuntu1604cis_telnet_required: false
ubuntu1604cis_talk_required: false  
ubuntu1604cis_rsh_required: false
ubuntu1604cis_ypbind_required: false
时间同步
ubuntu1604cis_time_synchronization: chrony
ubuntu1604cis_time_synchronization: ntp

ubuntu1604cis_time_synchronization_servers:
    - 0.pool.ntp.org
    - 1.pool.ntp.org
    - 2.pool.ntp.org
    - 3.pool.ntp.org
3.4.2 | 补丁 | 确保 /etc/hosts.allow 配置正确
ubuntu1604cis_host_allow:
  - "10.0.0.0/255.0.0.0"  
  - "172.16.0.0/255.240.0.0"  
  - "192.168.0.0/255.255.0.0"    

ubuntu1604cis_firewall: firewalld
ubuntu1604cis_firewall: iptables

依赖

Ansible 版本 > 2.2

示例剧本

- name: 加固服务器
  hosts: servers
  become: yes

  roles:
    - Ubuntu1604-CIS

标签

有许多标签可供选择,以精确控制更改的内容。

使用标签的一些示例:

    # 审计并补丁网站
    ansible-playbook site.yml --tags="patch"

许可证

MIT

关于项目

Ansible role to apply Ubuntu 16.04 CIS Baseline

role cis hardening security system
安装
ansible-galaxy install florianutz.Ubuntu1604-CIS
GitHub 仓库
89 星标
49 分叉
13 未解决问题
许可证
mit
下载
17.6k
拥有者