web-dev-qa-db-ja.com

RHEL / CentOSのDISA STIGコントロールを自動化しますか?

国防情報システム局(DISA)が発行したRed Hat 6(v1r2)セキュリティ技術実装ガイド(STIG)を使用して構成する必要があるシステムを展開しています。 サイトへのリンク

他のKS Google経由で見つけたファイルに基づいて、これらの設定の多くを自動化するためのキックスタートファイルの開発を開始しました。

誰かがアドバイス、追加のツール、またはその他の役立つリソースを持っていますか?

キックスタートを使用する必要はありません。それは、開始する最も簡単な方法のように思えました。 Ansibleのプレイブック、基本的なシェルスクリプトなどのリソースを探しています。

5
0xSheepdog

RedHatGov組織(Red Hat、Inc.の政府部門の従業員)によるGitHubのプロジェクトからまだ「ベータ版」のスクリプトがいくつかあります。

https://github.com/RedHatGov

彼らのプロジェクトは完全ではなく、普遍的に適用できるわけではありませんが、それは素晴らしいスタートであり、私はプロジェクトのフォーク、貢献、プルのリクエストを計画しています。

Red HatのFrank Cavvigiaもこのスクリプトを(Aqueductなどの他のプロジェクトからコードをフォークすることにより)公開し、RHEL 6.4 .isoをDISA STIG準拠の多くの設定と要件で変更します。これにより、新しい.ISOが作成されます。これを使用して、最初から多くの準拠オプションを持つシステムをインストールできます。

http://people.redhat.com/fcaviggi/stig-fix/

私はこのスクリプトをCentOS 6.5で少し変更してテストしましたが、ある程度成功しています。いつかクリーンアップしたら、調査結果や変更点を文書化して共有します。

3
0xSheepdog

コードは、次のプロジェクトから統合された「ベストエフォート」への私のスピンでした-Aqueduct、USGCBなどからのスクリプトはRHEL 5に合わせて調整されました-RHEL 6ですべて機能するように多くの変更を加える必要がありました-その意味でフォークです。とにかく、私はstig-fix-el6プロジェクトのREADMEにリストされているプロジェクトからのコードをマージして統合しました:

https://github.com/RedHatGov/stig-fix-el6/blob/master/README

RHEL 7はSCAPセキュリティガイド(SSG)からの修復スクリプトをAnacondaに統合するため、最終的にこのコードはobosleteになります。

http://myopensourcelife.com/2013/09/08/scap-and-remediation/

私は、RHEL 7のキックスタート部分だけにスクリプトを削減し、その時点でのインストールからの強化された構成を配布する予定です。

3
Frank Caviggia

私はanaconda APIを介して両方のキックスタートの自動化に対処するプロジェクトをいくつか持っています。 jaks(ちょうど別のキックスタートスクリプト) および stigadm 開発の初期段階では、UNIX/Linuxオペレーティングシステム用の標準のOSS SCAP/STIG検証および修正プロジェクトを目指しています。

2
jas-

このAnsibleの役割は、まさにあなたが要求することを行います。まず、ロールをマシンにダウンロードします。

# ansible-galaxy install https://github.com/MindPointGroup/RHEL6-STIG,devel

次に、harden.ymlという小さなプレイブックを作成します。

---
hosts: 127.0.0.1
  roles:
    - { role: RHEL6-STIG,
      rhel6stig_cat1: true, 
      rhel6stig_cat2: true, 
      rhel6stig_cat3: true }

次に、役割を適用します。

# ansible-playbook harden.yml
1
bbaassssiiee