[自动化]ansible-系统安全加固整改
基线漏洞安全整改
修复环境:centos7及以上
安全基线的概念
安全基线是一个信息系统的最小安全保证,即该信息系统最基本需要满足的安全要求。信息
系统安全往往需要在安全付出成本与所能够承受的安全风险之间进行平衡,而安全基线正
是这个平衡的合理的分界线。不满足系统最基本的安全需求,也就无法承受由此带来的安全
风险,而非基本安全需求的满足同样会带来超额安全成本的付出,所以构造信息系统安全
基线已经成为系统安全工程的首要步骤,同时也是进行安全评估、解决信息系统安全性问题
的先决条件。
修复基线漏洞名称
- 口令锁定策略
- 登陆超时时间设置
- 限制root用户SSH远程登录
- 使用SSH协议进行远程维护
- 文件与目录缺省权限控制
- 账号文件权限设置
- 口令生存期
- 禁止UID为0的用户存在多个
- 口令复杂度
- root用户环境变量的安全性
- 限制root用户TELNET远程登录
- 启用远程日志功能
- 修改SSH的Banner信息
- 删除无关帐号
- 配置用户最小授权
- 记录安全事件日志
- 设置账户组
- 修改SSH的Banner警告信息
- 禁止IP路由转发
- 控制远程访问的IP地址
- 禁止存在空密码的帐户
- 禁止ICMP重定向
- 关闭不必要启动项
- 记录帐户登录日志
- 日志文件安全
- 口令重复次数限制
- 禁止root用户登录FTP
- 配置su命令使用情况记录
- 限制FTP用户登录后能访问的目录
- 使用PAM认证模块禁止wheel组之外的用户su为root
- 修改TELNET的Banner信息
- 禁止IP源路由
- 历史命令设置
- 对root为ls、rm设置别名
- 修改目标主机SSH服务存在RC4、CBC或None弱加密算法
- 检查别名文件/etc/aliase(或/etc/mail/aliases)配置
修复步骤
1、vim roles/security/defaults/main.yml(修改变量,按照实际需求修改)
# allow host ssh login
hosts_allow: {ssh: ['1.*.*.*']}
# admin user password
admin_password: "123456"
# root login
permit_root_login: "no"
# ssh host deny
hosts_deny: {ssh: {'192.168.1.*'}}
# ssh timeout
ssh_timeout: "90"
# ip version
ip_version: "4"
# Centralized log collect
remote_log_ip: ""
2、执行修复
ansible-playbook -i hosts config.yml
[自动化]ansible-系统安全加固整改的更多相关文章
- centos7.2环境nginx+mysql+php-fpm+svn配置walle自动化部署系统详解
centos7.2环境nginx+mysql+php-fpm+svn配置walle自动化部署系统详解 操作系统:centos 7.2 x86_64 安装walle系统服务端 1.以下安装,均在宿主机( ...
- 如何利用PowerShell完成的Windows服务器系统安全加固实践和基线检测
0x00 前言简述 最近单位在做等保测评,由本人从事安全运维方面的工作(PS:曾经做过等保等方面的安全服务),所以自然而然的与信安的测评人员一起对接相关业务系统的检查,在做主机系统测评检查时发现了系统 ...
- Legolas工业自动化平台案例 —— 水源地自动化监控系统
天津港爆炸事件后,除了安置群众.追究事故责任外,人们最关心的莫过于爆炸污染物对于周边环境的影响,其中最重要的一块就是饮用水的安全.所幸的是,水源的安全监测是实实在在有据可依的.环保单位和供水企业在建设 ...
- 团队项目·冰球模拟器——cmake 自动化构建系统的配置文件的编写
1 前言 考虑到命令行界面下编译程序并不如在 IDE 那么直观,再考虑到各位队友对 Linux 并不熟悉,如何大幅度地减轻整个项目的开发复杂度就是一个很重要的问题. 在 Linux 下有个很古老但很有 ...
- cobbler自动化安装系统
笔者Q:972581034 交流群:605799367.有任何疑问可与笔者或加群交流 在很久很久以前,使用kickstart实现自动化安装的时候,我一直认为装系统是多么高大上的活,直到cobbler的 ...
- CentOS系统安全加固常见方法
关于Linux系统安全加固的具体实现脚本及基线检查规范,以供主机维护人员参考学习. 其中以下脚本主要实现的功能包括: *加固项包括:密码长度.session超时时间.删除不用的帐号和组.限制root用 ...
- 运维自动化之系统部署 PXE(二)
PXE介绍 Preboot Excution Environment 预启动执行环境 Intel公司研发 基于Client/Server的网络模式,支持远程主机通过网络从远端服务器下载映像,并由此支持 ...
- .NET持续集成与自动化部署之路第一篇——半天搭建你的Jenkins持续集成与自动化部署系统
.NET持续集成与自动化部署之路第一篇(半天搭建你的Jenkins持续集成与自动化部署系统) 前言 相信每一位程序员都经历过深夜加班上线的痛苦!而作为一个加班上线如家常便饭的码农,更是深感其痛 ...
- linux系统安全加固--账号相关
linux系统安全加固 一.账号相关 1.禁用或删除无用账号 减少系统无用账号,降低安全风险. 当我们的系统安装完毕后,系统默认自带了一些虚拟账户,比如bin.adm.lp.games.postfix ...
随机推荐
- leetcode 24. 两两交换链表中的节点 及 25. K 个一组翻转链表
24. 两两交换链表中的节点 问题描述 给定一个链表,两两交换其中相邻的节点,并返回交换后的链表. 你不能只是单纯的改变节点内部的值,而是需要实际的进行节点交换. 示例: 给定 1->2-> ...
- Choregraphe 2.8.6.23动作失效
动作和动画执行完以后,无法自动还原成默认状态,自然接下来动作无法执行了.之后各种操作可能诱发软件原有的bug.需要开关自主生活模块才能恢复. 部分连贯的动作不需要恢复就能执行,动画不行. 站立动作好像 ...
- cesium 3dtiles模型单体化点击高亮效果
前言 cesium 官网的api文档介绍地址cesium官网api,里面详细的介绍 cesium 各个类的介绍,还有就是在线例子:cesium 官网在线例子,这个也是学习 cesium 的好素材. c ...
- 从带Per-Building数据的KML/COLLADA中创建3D Tiles
Cesium中文网:http://cesiumcn.org/ | 国内快速访问:http://cesium.coinidea.com/ 许多Cesium的使用者经常需要将整个城市的数十万个三维建筑可视 ...
- DBeaver下载安装与连接MySQL数据库
一.Dbeaver下载 官网下载地址:Download | DBeaver Community 点击"Windows 64 bit (installer)"即可进行下载. 二.Db ...
- Spring系列9:基于注解的Spring容器配置
写在前面 前面几篇中我们说过,Spring容器支持3种方式进行bean定义信息的配置,现在具体说明下: XML:bean的定义和依赖都在xml文件中配置,比较繁杂. Annotation-based ...
- uni微信小程序优化,打包后的import vue路径是可删除的
这次的优化我公司项目主包只减小了32kb,但是减小的不仅仅是主包,所有分包均在没有改动任何业务代码的情况下完成了压缩空间的优化. 主包分包压缩空间的优化都要视项目而定,32kb只是我公司的小程序项目. ...
- ApacheCN Linux 译文集 20211129 更新
笨办法学 Linux 中文版 练习 0:起步 练习 1:文本编辑器,vim 练习 2:文本浏览器,少即是多 练习 3:Bash:Shell..profile..bashrc..bash_history ...
- js源码-数组中的push()和unshift()方法的源码实现
人话不多,直接上代码,在代码中解析,不足之处请谅解: push() Array.prototype._push=function(...value){//在Array原型链上添加_push方法 for ...
- JAVA多线程学习十二 - Semaphere同步工具
java 中Semaphere可类比操作系统信号量,硬件资源如IO.内存.磁盘等都是有固定量的,多个程序需要竞争这些资源,没有资源就需要被挂起. 一.类和方法摘要 构造函数: public Semap ...