国防情報システム局(DISA)が発行したRed Hat 6(v1r2)セキュリティ技術実装ガイド(STIG)を使用して構成する必要があるシステムを展開しています。 サイトへのリンク 。
他のKS Google経由で見つけたファイルに基づいて、これらの設定の多くを自動化するためのキックスタートファイルの開発を開始しました。
誰かがアドバイス、追加のツール、またはその他の役立つリソースを持っていますか?
キックスタートを使用する必要はありません。それは、開始する最も簡単な方法のように思えました。 Ansibleのプレイブック、基本的なシェルスクリプトなどのリソースを探しています。
RedHatGov組織(Red Hat、Inc.の政府部門の従業員)によるGitHubのプロジェクトからまだ「ベータ版」のスクリプトがいくつかあります。
彼らのプロジェクトは完全ではなく、普遍的に適用できるわけではありませんが、それは素晴らしいスタートであり、私はプロジェクトのフォーク、貢献、プルのリクエストを計画しています。
Red HatのFrank Cavvigiaもこのスクリプトを(Aqueductなどの他のプロジェクトからコードをフォークすることにより)公開し、RHEL 6.4 .isoをDISA STIG準拠の多くの設定と要件で変更します。これにより、新しい.ISOが作成されます。これを使用して、最初から多くの準拠オプションを持つシステムをインストールできます。
http://people.redhat.com/fcaviggi/stig-fix/
私はこのスクリプトをCentOS 6.5で少し変更してテストしましたが、ある程度成功しています。いつかクリーンアップしたら、調査結果や変更点を文書化して共有します。
コードは、次のプロジェクトから統合された「ベストエフォート」への私のスピンでした-Aqueduct、USGCBなどからのスクリプトはRHEL 5に合わせて調整されました-RHEL 6ですべて機能するように多くの変更を加える必要がありました-その意味でフォークです。とにかく、私はstig-fix-el6プロジェクトのREADMEにリストされているプロジェクトからのコードをマージして統合しました:
https://github.com/RedHatGov/stig-fix-el6/blob/master/README
RHEL 7はSCAPセキュリティガイド(SSG)からの修復スクリプトをAnacondaに統合するため、最終的にこのコードはobosleteになります。
http://myopensourcelife.com/2013/09/08/scap-and-remediation/
私は、RHEL 7のキックスタート部分だけにスクリプトを削減し、その時点でのインストールからの強化された構成を配布する予定です。
私はanaconda APIを介して両方のキックスタートの自動化に対処するプロジェクトをいくつか持っています。 jaks(ちょうど別のキックスタートスクリプト) および stigadm 開発の初期段階では、UNIX/Linuxオペレーティングシステム用の標準のOSS SCAP/STIG検証および修正プロジェクトを目指しています。
このAnsibleの役割は、まさにあなたが要求することを行います。まず、ロールをマシンにダウンロードします。
# ansible-galaxy install https://github.com/MindPointGroup/RHEL6-STIG,devel
次に、harden.ymlという小さなプレイブックを作成します。
---
hosts: 127.0.0.1
roles:
- { role: RHEL6-STIG,
rhel6stig_cat1: true,
rhel6stig_cat2: true,
rhel6stig_cat3: true }
次に、役割を適用します。
# ansible-playbook harden.yml