Automatiza os controles DISA STIG para o RHEL / CentOS?

Navegue suas respostas
4

Estou implantando sistemas que devem ser configurados usando o Guia Técnico de Implementação de Segurança (STIG) do Red Hat 6 (v1r2) publicado pela Defense Information Systems Agency (DISA). Link para o site .

Comecei a desenvolver um arquivo do Kickstart para automatizar muitas dessas configurações com base em outros arquivos do KS encontrados pelo Google.

Alguém tem algum conselho, ferramentas adicionais ou outros recursos que ajudem?

Eu não preciso para usar o Kickstart, parecia ser a maneira mais fácil de começar. Eu estou procurando por quaisquer recursos: playbooks para Ansible, scripts básicos de shell, etc.

    
por 0xSheepdog 11.04.2014 / 18:05

4 respostas

2

Eu tenho alguns scripts que provavelmente ainda são "beta" de um projeto no GitHub pela organização RedHatGov (funcionários do setor governamental da Red Hat, Inc.).

link

Embora seu projeto não seja completo, nem universalmente aplicável, é um ótimo começo e eu planejo bifurcar, contribuir e solicitar vantagens para os projetos.

Frank Cavvigia, da Red Hat, também disponibilizou este script publicamente (ao bifurcar o código de outros projetos, como o Aqueduct), que modificará o .iso do RHEL 6.4 com muitas configurações e requisitos para conformidade com DISA STIG. Isso cria um novo .ISO que você pode gravar e usar para instalar um sistema com muitas opções compatíveis desde o início.

link

Eu testei este script, com pequenas modificações, no CentOS 6.5 e foi um pouco bem sucedido. Algum dia, quando eu limpar, vou documentar e compartilhar minhas descobertas / mudanças.

    
por 29.04.2014 / 22:13
2

O código foi o meu giro dos projetos a seguir em um "melhor esforço" integrado - os scripts do Aqueduct, USGCB, etc. foram sintonizados no RHEL 5 - Eu tive que fazer muitas modificações para fazer tudo funcionar RHEL 6 - então é um garfo nesse sentido. De qualquer forma, eu juntei e unifiquei o código dos projetos listados no README do projeto stig-fix-el6:

link

Eventualmente, esse código se tornará obsoleto, já que o RHEL 7 integrará os scripts de correção do Guia de Segurança do SCAP (SSG) ao Anaconda.

link

Eu pretendo reduzir os scripts apenas para a parte do kickstart para o RHEL 7 e distribuir as configurações confusas da instalação naquele ponto.

    
por 27.05.2014 / 15:49
1

Eu tenho alguns projetos que abordam a automação do kickstart através da API do anaconda; jaks (apenas outro script de kickstart) e stigadm que, enquanto nos estágios iniciais de desenvolvimento, tem como objetivo ser uma validação & amp padrão do OSS SCAP / STIG projeto de remediação para sistemas operacionais UNIX / Linux.

    
por 02.12.2017 / 00:20
0

Este papel Ansible faz exatamente o que você pede. Primeiro baixe o papel para sua máquina: 

# ansible-galaxy install https://github.com/MindPointGroup/RHEL6-STIG,devel

Em seguida, crie um pequeno manual chamado harden.yml: 

---
hosts: 127.0.0.1
  roles:
    - { role: RHEL6-STIG,
      rhel6stig_cat1: true, 
      rhel6stig_cat2: true, 
      rhel6stig_cat3: true }

Em seguida, aplique o papel: 

# ansible-playbook harden.yml
    
por 02.09.2015 / 12:59

Tags

Script Bash: arquivo de ajuda dentro do script ou em um arquivo diferente? No tmux, como posso substituir a sessão atual selecionando outra e eliminando a atual?