thechip911.hardening
加固 - Ansible 角色
一个 Ansible 角色,用于提高 AlmaLinux、Debian 或 Ubuntu 服务器的安全性。
systemd 版。
要求 Ansible 版本 >= 2.12。
可在 Ansible Galaxy 中获取。
支持以下版本: AlmaLinux 8, Debian 11, Ubuntu 20.04 LTS (Focal Fossa) 和 22.04 LTS (Jammy Jellyfish)。
注意
使用此角色前,请务必在非生产环境中进行测试。
注意
此角色在 slsa action workflow 下具有 SLSA 认证,可供验证。
依赖
无。
示例
Playbook
---
- hosts: localhost
any_errors_fatal: true
tasks:
- name: 包含加固角色
ansible.builtin.include_role:
name: thechip911.hardening
vars:
block_blacklisted: true
sshd_admin_net:
- 10.0.0.0/16
suid_sgid_permissions: false
...
使用 git checkout 的 ansible-pull
---
- hosts: localhost
any_errors_fatal: true
tasks:
- name: 安装 git
become: true
ansible.builtin.package:
name: git
state: present
- name: 检出 thechip911.hardening
become: true
ansible.builtin.git:
repo: 'https://github.com/thechip911/ansible-role-hardening'
dest: /etc/ansible/roles/thechip911.hardening
version: master
- name: 包含加固角色
ansible.builtin.include_role:
name: thechip911.hardening
vars:
block_blacklisted: true
sshd_admin_net:
- 10.0.2.0/16
suid_sgid_permissions: false
...
关于 UFW 防火墙规则的注意事项
该角色不会在每次运行时重置 ufw,以避免导致网络流量中断,而是删除没有 comment: ansible managed 任务参数和值的所有 ufw 规则。
该角色还设置了默认的拒绝策略,这意味着需要为除 sshd_port 和 ufw_outgoing_traffic 变量中指定的额外端口创建防火墙规则。
任务执行和结构
请参见 STRUCTURE.md 了解角色结构树。
角色测试
请参见 TESTING.md。
默认角色变量
./defaults/main/auditd.yml
auditd_apply_audit_rules: true
auditd_action_mail_acct: root
auditd_admin_space_left_action: suspend
auditd_disk_error_action: suspend
auditd_disk_full_action: suspend
auditd_max_log_file: 8
auditd_max_log_file_action: keep_logs
auditd_mode: 1
auditd_num_logs: 5
auditd_space_left: 75
auditd_space_left_action: email
grub_audit_backlog_cmdline: audit_backlog_limit=8192
grub_audit_cmdline: audit=1
在启动时通过 Grub 启用 auditd。
当 auditd_apply_audit_rules 为 'yes' 时,角色将应用模板文件中的 auditd 规则。
auditd_action_mail_acct 应为有效的电子邮件地址或别名。
auditd_admin_space_left_action 定义当系统检测到磁盘空间不足时采取的动作。suspend 将导致审计守护进程停止记录到磁盘。
auditd_max_log_file_action 设置当系统检测到达到最大文件大小限制时采取的动作。例如,rotate 选项将使审计守护进程轮换日志。keep_logs 选项类似于 rotate,但不使用 num_logs 设置。这可以防止审计日志被覆盖。
auditd_space_left_action 告诉系统当检测到磁盘空间不足时采取的动作。email 意味着会向 action_mail_acct 指定的电子邮件账户发送警告,同时也会发送消息到 syslog。
auditd_mode 设置 auditd 的失败模式,0=静默 1=输出 2=恐慌。
./defaults/main/compilers.yml
compilers:
- as
- cargo
- cc
- cc-[0-9]*
- clang-[0-9]*
- gcc
- gcc-[0-9]*
- go
- make
- rustc
将限制使用的编译器列表,仅限于 root 用户。
./defaults/main/disablewireless.yml
disable_wireless: false
如果为 true,则关闭所有无线接口。
./defaults/main/dns.yml
dns: 127.0.0.1 1.1.1.1
fallback_dns: 9.9.9.9 1.0.0.1
dnssec: allow-downgrade
dns_over_tls: opportunistic
用于系统和备用 DNS 服务器的 IPv4 和 IPv6 地址。
如果 dnssec 设置为 "allow-downgrade",则尝试进行 DNSSEC 验证,但如果服务器不正确支持 DNSSEC,自动禁用 DNSSEC 模式。
如果 dns_over_tls 为 true,所有与服务器的连接将在 DNS 服务器支持 DNS-over-TLS 并拥有有效证书的情况下进行加密。
systemd 选项。
./defaults/main/ipv6.yml
disable_ipv6: false
ipv6_disable_sysctl_settings:
net.ipv6.conf.all.disable_ipv6: 1
net.ipv6.conf.default.disable_ipv6: 1
如果 disable_ipv6: true,则禁用 IPv6。
./defaults/main/limits.yml
limit_nofile_hard: 1024
limit_nofile_soft: 512
limit_nproc_hard: 1024
limit_nproc_soft: 512
最大进程数和打开文件数。
./defaults/main/misc.yml
install_aide: true
reboot_ubuntu: false
redhat_signing_keys:
- 567E347AD0044ADE55BA8A5F199E2F91FD431D51
- 47DB287789B21722B6D95DDE5326810137017186
epel7_signing_keys:
- 91E97D7C4A5E96F17F3E888F6A2FAEA2352C64E5
epel8_signing_keys:
- 94E279EB8D8F25B21810ADF121EA45AB2F86D6A1
epel9_signing_keys:
- FF8AD1344597106ECE813B918A3872BF3228467C
如果 install_aide: true,则会安装并配置 AIDE。
如果 reboot_ubuntu: true,则在需要时会重启 Ubuntu 节点。
redhat_signing_keys 是 RedHat 产品签名密钥。
epel7_signing_keys、epel8_signing_keys 和 epel9_signing_keys 是特定版本的 Fedora EPEL 签名密钥。
./defaults/main/module_blocklists.yml
block_blacklisted: false
fs_modules_blocklist:
- cramfs
- freevxfs
- hfs
- hfsplus
- jffs2
- squashfs
- udf
misc_modules_blocklist:
- bluetooth
- bnep
- btusb
- can
- cpia2
- firewire-core
- floppy
- n_hdlc
- net-pf-31
- pcspkr
- soundcore
- thunderbolt
- usb-midi
- usb-storage
- uvcvideo
- v4l2_common
net_modules_blocklist:
- atm
- dccp
- sctp
- rds
- tipc
被阻止的内核模块。
设置 block_blacklisted: true 将阻止或禁用任何黑名单内核模块的自动加载。由于黑名单模块仍可以通过 modprobe module_name 手动加载,因此使用 install module_name /bin/true 可以防止这种情况。
./defaults/main/mount.yml
hide_pid: 2
process_group: root
hide_pid 设置 /proc/<pid>/ 的访问模式。
process_group 设置授权学习进程信息的组,否则受 hidepid= 限制。
./defaults/main/ntp.yml
fallback_ntp: 2.ubuntu.pool.ntp.org 3.ubuntu.pool.ntp.org
ntp: 0.ubuntu.pool.ntp.org 1.ubuntu.pool.ntp.org
NTP 服务器主机名或 IP 地址。 systemd 选项。
./defaults/main/packages.yml
system_upgrade: true
packages_blocklist:
- apport*
- autofs
- avahi*
- avahi-*
- beep
- git
- pastebinit
- popularity-contest
- prelink
- rpcbind
- rsh*
- rsync
- talk*
- telnet*
- tftp*
- whoopsie
- xinetd
- yp-tools
- ypbind
packages_debian:
- acct
- apparmor-profiles
- apparmor-utils
- apt-show-versions
- audispd-plugins
- auditd
- cracklib-runtime
- debsums
- gnupg2
- haveged
- libpam-apparmor
- libpam-cap
- libpam-modules
- libpam-pwquality
- libpam-tmpdir
- lsb-release
- needrestart
- openssh-server
- postfix
- rkhunter
- rsyslog
- sysstat
- tcpd
- vlock
- wamerican
packages_redhat:
- audispd-plugins
- audit
- cracklib
- gnupg2
- haveged
- libpwquality
- openssh-server
- needrestart
- postfix
- psacct
- rkhunter
- rsyslog
- rsyslog-gnutls
- vlock
- words
packages_ubuntu:
- fwupd
- secureboot-db
system_upgrade: 'yes' 运行 apt upgrade 或 dnf update(如果需要)。
根据发行版要安装的包和要删除的包(packages_blocklist)。
./defaults/main/password.yml
crypto_policy: FIPS
pwquality_config:
dcredit: -1
dictcheck: 1
difok: 8
enforcing: 1
lcredit: -1
maxclassrepeat: 4
maxrepeat: 3
minclass: 4
minlen: 15
ocredit: -1
ucredit: -1
设置 加密政策,如果 /etc/crypto-policies/config 存在。
配置 libpwquality 库。
./defaults/main/sshd.yml
sshd_accept_env: LANG LC_*
sshd_admin_net:
- 192.168.0.0/24
- 192.168.1.0/24
sshd_allow_agent_forwarding: 'no'
sshd_allow_groups: sudo
sshd_allow_tcp_forwarding: 'no'
sshd_authentication_methods: any
sshd_banner: /etc/issue.net
sshd_challenge_response_authentication: 'no'
sshd_ciphers: [email protected],[email protected],aes256-ctr
sshd_client_alive_count_max: 1
sshd_client_alive_interval: 200
sshd_compression: 'no'
sshd_gssapi_authentication: 'no'
sshd_hostbased_authentication: 'no'
sshd_host_key_algorithms: [email protected],[email protected],ssh-ed25519,ssh-rsa,[email protected],[email protected],[email protected],ecdsa-sha2-nistp521,ecdsa-sha2-nistp384,ecdsa-sha2-nistp256
sshd_ignore_user_known_hosts: 'yes'
sshd_kerberos_authentication: 'no'
sshd_kex_algorithms: [email protected],ecdh-sha2-nistp521,ecdh-sha2-nistp384,ecdh-sha2-nistp256,diffie-hellman-group-exchange-sha256
sshd_login_grace_time: 20
sshd_log_level: VERBOSE
sshd_macs: [email protected],[email protected],hmac-sha2-512,hmac-sha2-256
sshd_max_auth_tries: 3
sshd_max_sessions: 3
sshd_max_startups: 10:30:60
sshd_password_authentication: 'no'
sshd_permit_empty_passwords: 'no'
sshd_permit_root_login: 'no'
sshd_permit_user_environment: 'no'
sshd_port: 22
sshd_print_last_log: 'yes'
sshd_print_motd: 'no'
sshd_rekey_limit: 512M 1h
sshd_required_rsa_size: 2048
sshd_strict_modes: 'yes'
sshd_subsystem: sftp internal-sftp
sshd_tcp_keep_alive: 'no'
sshd_use_dns: 'no'
sshd_use_pam: 'yes'
sshd_x11_forwarding: 'no'
有关未在此处描述的选项的说明,请阅读 https://man.openbsd.org/sshd_config。
只有在 sshd_admin_net 中定义的网络可以连接到 sshd_port。请注意,需要设置其他规则以允许访问其他服务。
仅允许 SSH 登录用于其主组或补充组列表匹配 sshd_allow_groups 中模式的用户。
sshd_allow_agent_forwarding 指定是否允许 ssh-agent(1) 转发。
sshd_allow_tcp_forwarding 指定是否允许 TCP 转发。可用选项为 yes(或 all)以允许 TCP 转发,no 禁止所有 TCP 转发,local 仅允许本地(相对于 ssh(1))转发,或 remote 仅允许远程转发。
sshd_authentication_methods 指定必须成功完成的身份验证方法才能授予用户访问权限。
sshd_log_level 提供用于记录消息的详细程度。
sshd_max_auth_tries 和 sshd_max_sessions 分别指定每次连接允许的 SSH 身份验证尝试次数和每个网络连接允许的最大打开 shell、登录或子系统(例如 sftp)会话数。
sshd_password_authentication 指定是否允许密码身份验证。
sshd_port 指定 sshd(8) 监听的端口号。
sshd_required_rsa_size,所需 RSA 大小,仅在 SSH 版本高于 9.1 时设置。
./defaults/main/suid_sgid_blocklist.yml
suid_sgid_permissions: true
suid_sgid_blocklist:
- ansible-playbook
- ar
- as
- at
- awk
- base32
- base64
- bash
- busctl
- busybox
[...]
如果 suid_sgid_permissions: true,则遍历 suid_sgid_blocklist 并删除任何 SUID/SGID 权限。
完整文件列表可在 defaults/main/suid_sgid_blocklist.yml 中找到。
./defaults/main/sysctl.yml
sysctl_dev_tty_ldisc_autoload: 0
sysctl_net_ipv6_conf_accept_ra_rtr_pref: 0
ipv4_sysctl_settings:
net.ipv4.conf.all.accept_redirects: 0
net.ipv4.conf.all.accept_source_route: 0
net.ipv4.conf.all.log_martians: 1
net.ipv4.conf.all.rp_filter: 1
net.ipv4.conf.all.secure_redirects: 0
net.ipv4.conf.all.send_redirects: 0
net.ipv4.conf.all.shared_media: 0
net.ipv4.conf.default.accept_redirects: 0
net.ipv4.conf.default.accept_source_route: 0
net.ipv4.conf.default.log_martians: 1
net.ipv4.conf.default.rp_filter: 1
net.ipv4.conf.default.secure_redirects: 0
net.ipv4.conf.default.send_redirects: 0
net.ipv4.icmp_echo_ignore_broadcasts: 1
net.ipv4.icmp_ignore_bogus_error_responses: 1
net.ipv4.ip_forward: 0
net.ipv4.tcp_challenge_ack_limit: 2147483647
net.ipv4.tcp_invalid_ratelimit: 500
net.ipv4.tcp_max_syn_backlog: 20480
net.ipv4.tcp_rfc1337: 1
net.ipv4.tcp_syn_retries: 5
net.ipv4.tcp_synack_retries: 2
net.ipv4.tcp_syncookies: 1
ipv6_sysctl_settings:
net.ipv6.conf.all.accept_ra: 0
net.ipv6.conf.all.accept_redirects: 0
net.ipv6.conf.all.accept_source_route: 0
net.ipv6.conf.all.forwarding: 0
net.ipv6.conf.all.use_tempaddr: 2
net.ipv6.conf.default.accept_ra: 0
net.ipv6.conf.default.accept_ra_defrtr: 0
net.ipv6.conf.default.accept_ra_pinfo: 0
net.ipv6.conf.default.accept_ra_rtr_pref: 0
net.ipv6.conf.default.accept_redirects: 0
net.ipv6.conf.default.accept_source_route: 0
net.ipv6.conf.default.autoconf: 0
net.ipv6.conf.default.dad_transmits: 0
net.ipv6.conf.default.max_addresses: 1
net.ipv6.conf.default.router_solicitations: 0
net.ipv6.conf.default.use_tempaddr: 2
generic_sysctl_settings:
fs.protected_fifos: 2
fs.protected_hardlinks: 1
fs.protected_symlinks: 1
fs.suid_dumpable: 0
kernel.core_uses_pid: 1
kernel.dmesg_restrict: 1
kernel.kptr_restrict: 2
kernel.panic: 60
kernel.panic_on_oops: 60
kernel.perf_event_paranoid: 3
kernel.randomize_va_space: 2
kernel.sysrq: 0
kernel.unprivileged_bpf_disabled: 1
kernel.yama.ptrace_scope: 2
net.core.bpf_jit_harden: 2
conntrack_sysctl_settings:
net.netfilter.nf_conntrack_max: 2000000
net.netfilter.nf_conntrack_tcp_loose: 0
sysctl 配置。
./defaults/main/ufw.yml
ufw_enable: true
ufw_outgoing_traffic:
- 22
- 53
- 80
- 123
- 443
- 853
ufw_enable: true 安装并配置 ufw 及相关规则。将其设置为 false 可手动安装和配置防火墙。ufw_outgoing_traffic 打开特定的 ufw 端口,允许出站流量。
./defaults/main/users.yml
delete_users:
- games
- gnats
- irc
- list
- news
- sync
- uucp
要删除的用户。
推荐阅读
贡献
想要贡献吗?太好了!欢迎任何规模的贡献。如果您发现了任何问题,请随时提交问题,创建一个 Pull Request 改进代码,或者通过 赞助该项目。
许可
Apache 许可证 版本 2.0