我正在部署必须使用国防信息系统局 (DISA) 发布的 Red Hat 6 (v1r2) 安全技术实施指南 (STIG) 进行配置的系统。 网站链接。
我已经开始开发一个 Kickstart 文件,以根据我通过 Google 找到的其他 KS 文件自动执行许多设置。
有人有任何建议、额外工具或其他有帮助的资源吗?
我不需要使用 Kickstart,这似乎是最简单的入门方法。我正在寻找任何资源:Ansible 的剧本、基本的 shell 脚本等。
答案1
我有一些脚本可能仍然是 RedHatGov 组织(Red Hat, Inc. 政府部门员工)在 GitHub 上的一个项目的“测试版”。
虽然他们的项目并不完整,也不普遍适用,但这是一个很好的开始,我计划为这些项目进行分叉、贡献和请求拉取。
Red Hat 的 Frank Cavvigia 还公开了该脚本(通过从其他项目(例如 Aqueduct)分叉代码),这将修改 RHEL 6.4 .iso,其中包含 DISA STIG 合规性的许多设置和要求。这将创建一个新的 .ISO,您可以刻录并使用它从一开始就安装具有许多兼容选项的系统。
http://people.redhat.com/fcaviggi/stig-fix/
我已经在 CentOS 6.5 上测试了这个脚本,并做了一些小的修改,并且取得了一定的成功。有一天,当我把它清理干净时,我将记录并分享我的发现/更改。
答案2
这些代码是我从以下项目中转变成一个集成的“尽力而为”的代码 - 来自 Aqueduct、USGCB 等的脚本已针对 RHEL 5 进行了调整 - 我必须进行大量修改才能使其全部适用于 RHEL 6 -所以从这个意义上来说它是一个叉子。无论如何,我已经合并并统一了 stig-fix-el6 项目自述文件中列出的项目的代码:
https://github.com/RedHatGov/stig-fix-el6/blob/master/README
最终,随着 RHEL 7 将 SCAP 安全指南 (SSG) 中的修复脚本集成到 Anaconda 中,该代码将被废弃。
http://myopensourcelife.com/2013/09/08/scap-and-remediation/
我计划将脚本削减到 RHEL 7 的启动部分,并在此时分发安装中的强化配置。
答案3
我有几个项目通过 anaconda API 解决了 kickstart 自动化问题;jaks(只是另一个启动脚本)和斯蒂加德姆该项目处于开发的早期阶段,旨在成为 UNIX/Linux 操作系统的标准 OSS SCAP/STIG 验证和修复项目。
答案4
这个 Ansible 角色完全符合您的要求。首先将角色下载到您的机器上:
# ansible-galaxy install https://github.com/MindPointGroup/RHEL6-STIG,devel
然后创建一个名为 Harden.yml 的小剧本:
---
hosts: 127.0.0.1
roles:
- { role: RHEL6-STIG,
rhel6stig_cat1: true,
rhel6stig_cat2: true,
rhel6stig_cat3: true }
然后应用角色:
# ansible-playbook harden.yml