Fonds Linux
  1. Fonds Linux
  3. Automatiser les controls DISA STIG pour RHEL / CentOS?
Intereting Posts
Comment écraser le début d'un périphérique avec des bits randoms ou des zéros? Le résultat de ls *, ls ** et ls *** Wiki pour les users d'emacs La règle Udev n'est pas utilisée? convertir des espaces en tirets Comment capturer l'état de sortie d'une command non finale dans un pipeline? Linux sur un 286? Comment faire une search Nautilus utile en dehors de / home? Modification du mode de rotation automatique de l'écran dans la shell Gnome Comment "grep" pour la longueur de ligne dans une gamme donnée? Qu'est-ce que le fractionnement des mots? Pourquoi est-ce important dans la programmation shell? Comment puis-je voir quel gestionnaire de packages est en cours d'exécution? Comment traiter / canaliser la sortie TCPDUMP en time réel chdir (<directory>) ne change pas de directory après avoir quitté shell Empêcher de monter une partition par user (gnome + udisk)

Automatiser les controls DISA STIG pour RHEL / CentOS?

Je déploie des systèmes qui doivent être configurés à l'aide du Guide d'implémentation technique de security (STIG) de Red Hat 6 (v1r2) publié par l'Agence des systèmes d'information de défense (DISA). Lien vers le site .

J'ai commencé à développer un file Kickstart pour automatiser plusieurs de ces parameters basés sur d'autres files KS que j'ai trouvés via Google.

Quelqu'un a-t-il des conseils, des outils supplémentaires ou d'autres ressources qui vous aideront?

Je n'ai pas besoin d'utiliser Kickstart, il me semblait que c'était la façon la plus facile de commencer. Je cherche des ressources: des playbooks pour Ansible, des scripts shell basiques, etc.

J'ai quelques scripts qui sont probablement encore "beta" d'un projet sur GitHub par l'organisation RedHatGov (employés du secteur gouvernemental de Red Hat, Inc.).

https://github.com/RedHatGov

Bien que leur projet ne soit pas complet, ni universellement applicable, c'est un bon début et je prévois de créer, de consortingbuer et de solliciter des projets.

Frank Cavvigia de Red Hat a également rendu ce script accessible au public (en cherchant le code d'autres projets tels que Aqueduct), qui modifiera un RHEL 6.4 .iso avec de nombreux parameters et exigences pour la conformité DISA STIG. Cela crée un nouveau .ISO que vous pouvez graver et utiliser pour installer un système avec de nombreuses options compatibles dès le départ.

http://people.redhat.com/fcaviggi/stig-fix/

J'ai testé ce script, avec des modifications mineures, sur CentOS 6.5 et il a eu un certain succès. Un jour, quand je le nettoierai, je documenterai et partagerai mes découvertes / changements.

Le code a été mon spin des projets suivants dans un «meilleur effort» embedded – les scripts d'Aqueduct, USGCB, etc. ont été accordés à RHEL 5 – j'ai dû faire beaucoup de modification pour que tout fonctionne pour RHEL 6 – donc c'est une fourchette dans ce sens. Quoi qu'il en soit, j'ai fusionné et unifié le code des projets listés dans le README du projet stig-fix-el6:

https://github.com/RedHatGov/stig-fix-el6/blob/master/README

Finalement, ce code deviendra obsolète car RHEL 7 intégrera les scripts de correction du Guide de security SCAP (SSG) dans Anaconda.

http://myopensourcelife.com/2013/09/08/scap-and-remediation/

Je prévois de réduire les scripts juste à la partie kickstart pour RHEL 7 et de dissortingbuer les configurations durcies de l'installation à ce moment-là.

Ce rôle Ansible fait exactement ce que vous requestz. Téléchargez d'abord le rôle sur votre machine: 

# ansible-galaxy install https://github.com/MindPointGroup/RHEL6-STIG,devel

Ensuite, créez un petit livre de jeu appelé harden.yml: 

 --- hosts: 127.0.0.1 roles: - { role: RHEL6-STIG, rhel6stig_cat1: true, rhel6stig_cat2: true, rhel6stig_cat3: true }

Ensuite, appliquez le rôle: 

 # ansible-playbook harden.yml