DISA(Defense Information Systems Agency)によって発行されたRed Hat 6(v1r2)セキュリティ技術実装ガイド(STIG)を使用して設定する必要があるシステムを展開しています。 ウェブサイトリンク。
私はGoogle経由で見つけた他のKSファイルに基づいて多くの設定を自動化するためにKickstartファイルの開発を始めました。
提案、追加ツール、または他の有用なリソースを持っている人はいますか?
私はいません。必要Kickstartを使用することが始まる最も簡単な方法のようです。 Ansible PlayBook、ネイティブシェルスクリプトなど、すべてのリソースを探しています。
答え1
RedHatGov組織(Red Hat、Inc.の政府従業員)がGitHubで進行しているプロジェクトに対してまだ「ベータ」状態である可能性があるいくつかのスクリプトがあります。
彼らのプロジェクトは完全ではなく、普遍的には適用できませんが、良いスタートです。
Red HatのFrank Cavvigiaはまた、Aqueductなどの他のプロジェクトのコードをフォークしてこのスクリプトを公開しました。このスクリプトは、DISA STIG準拠のための多くの設定と要件を含むようにRHEL 6.4 .isoを変更します。これにより、多くの互換性オプションを使用して最初からシステムをインストールするために使用できる新しい.ISOが作成されます。
http://people.redhat.com/fcaviggi/stig-fix/
私はこのスクリプトをCentOS 6.5で少し修正してテストしましたが、ある程度成功しました。いつかクリーンアップが完了したら、発見/変更を文書化して共有します。
答え2
これは、RHEL 5に合わせて調整されたAqueduct、USGCBなどのスクリプトなど、次のプロジェクトで統合された「ベストエフォート」に切り替えたコードです。すべてRHEL 6で動作させるためには多くの修正が必要でした。そういう意味ではフォークです。とにかく、stig-fix-el6プロジェクトの追加情報にリストされているプロジェクトのコードをマージして統合しました。
https://github.com/RedHatGov/stig-fix-el6/blob/master/README
結局のところ、RHEL 7がSCAPセキュリティガイド(SSG)の修正スクリプトをAnacondaに統合すると、このコードは廃止されました。
http://myopensourcelife.com/2013/09/08/scap-and-remediation/
スクリプトをRHEL 7の先頭に縮小し、その時点でインストール時に強化された構成をデプロイする予定です。
答え3
私はanaconda APIを介してキックスタートオートメーションの問題を解決するいくつかのプロジェクトを持っています。jaks (別の起動スクリプト)そしてスティガダムこのプロジェクトは開発の初期段階にあり、UNIX / Linuxオペレーティングシステムの標準OSS SCAP / STIG検証および回復プロジェクトになることを目的としています。
答え4
このAnsibleロールは、正確に必要なタスクを実行します。まず、キャラクターをコンピュータにダウンロードしてください。
# ansible-galaxy install https://github.com/MindPointGroup/RHEL6-STIG,devel
次に、Harden.ymlという小さなスクリプトを作成します。
---
hosts: 127.0.0.1
roles:
- { role: RHEL6-STIG,
rhel6stig_cat1: true,
rhel6stig_cat2: true,
rhel6stig_cat3: true }
次に、役割を適用します。
# ansible-playbook harden.yml