RHEL / CentOSのDISA STIG制御を自動化しますか?

RHEL / CentOSのDISA STIG制御を自動化しますか?

DISA(Defense Information Systems Agency)によって発行されたRed Hat 6(v1r2)セキュリティ技術実装ガイド(STIG)を使用して設定する必要があるシステムを展開しています。 ウェブサイトリンク

私はGoogle経由で見つけた他のKSファイルに基づいて多くの設定を自動化するためにKickstartファイルの開発を始めました。

提案、追加ツール、または他の有用なリソースを持っている人はいますか?

私はいません。必要Kickstartを使用することが始まる最も簡単な方法のようです。 Ansible PlayBook、ネイティブシェルスクリプトなど、すべてのリソースを探しています。

答え1

RedHatGov組織(Red Hat、Inc.の政府従業員)がGitHubで進行しているプロジェクトに対してまだ「ベータ」状態である可能性があるいくつかのスクリプトがあります。

https://github.com/RedHatGov

彼らのプロジェクトは完全ではなく、普遍的には適用できませんが、良いスタートです。

Red HatのFrank Cavvigiaはまた、Aqueductなどの他のプロジェクトのコードをフォークしてこのスクリプトを公開しました。このスクリプトは、DISA STIG準拠のための多くの設定と要件を含むようにRHEL 6.4 .isoを変更します。これにより、多くの互換性オプションを使用して最初からシステムをインストールするために使用できる新しい.ISOが作成されます。

http://people.redhat.com/fcaviggi/stig-fix/

私はこのスクリプトをCentOS 6.5で少し修正してテストしましたが、ある程度成功しました。いつかクリーンアップが完了したら、発見/変更を文書化して共有します。

答え2

これは、RHEL 5に合わせて調整されたAqueduct、USGCBなどのスクリプトなど、次のプロジェクトで統合された「ベストエフォート」に切り替えたコードです。すべてRHEL 6で動作させるためには多くの修正が必要でした。そういう意味ではフォークです。とにかく、stig-fix-el6プロジェクトの追加情報にリストされているプロジェクトのコードをマージして統合しました。

https://github.com/RedHatGov/stig-fix-el6/blob/master/README

結局のところ、RHEL 7がSCAPセキュリティガイド(SSG)の修正スクリプトをAnacondaに統合すると、このコードは廃止されました。

http://myopensourcelife.com/2013/09/08/scap-and-remediation/

スクリプトをRHEL 7の先頭に縮小し、その時点でインストール時に強化された構成をデプロイする予定です。

答え3

私はanaconda APIを介してキックスタートオートメーションの問題を解決するいくつかのプロジェクトを持っています。jaks (別の起動スクリプト)そしてスティガダムこのプロジェクトは開発の初期段階にあり、UNIX / Linuxオペレーティングシステムの標準OSS SCAP / STIG検証および回復プロジェクトになることを目的としています。

答え4

このAnsibleロールは、正確に必要なタスクを実行します。まず、キャラクターをコンピュータにダウンロードしてください。

# ansible-galaxy install https://github.com/MindPointGroup/RHEL6-STIG,devel

次に、Harden.ymlという小さなスクリプトを作成します。

---
hosts: 127.0.0.1
  roles:
    - { role: RHEL6-STIG,
      rhel6stig_cat1: true, 
      rhel6stig_cat2: true, 
      rhel6stig_cat3: true }

次に、役割を適用します。

# ansible-playbook harden.yml

関連情報