:lock: CIS Debian 10/11/12 系统加固
基于cisecurity.org建议的模块化Debian 10/11/12安全加固脚本。我们在OVHcloud使用它来加固我们的PCI-DSS基础设施。
注意:尽管Debian 12 CIS加固指南仍在开发中,我们在OVHcloud的生产环境中已经在Debian 12操作系统上使用这套脚本。
$ bin/hardening.sh --audit-all
[...]
hardening [INFO] 处理 /opt/cis-hardening/bin/hardening/6.2.19_check_duplicate_groupname.sh
6.2.19_check_duplicate_gr [INFO] 正在处理 6.2.19_check_duplicate_groupname
6.2.19_check_duplicate_gr [INFO] 检查配置
6.2.19_check_duplicate_gr [INFO] 执行审计
6.2.19_check_duplicate_gr [ OK ] 没有重复的GID
6.2.19_check_duplicate_gr [ OK ] 检查通过
[...]
################### 摘要 ###################
可用检查总数 : 232
已运行检查总数 : 166
通过检查总数 : [ 142/166 ]
失败检查总数 : [ 24/166 ]
已启用检查百分比 : 71.00 %
合规性百分比 : 85.00 %
:dizzy: 快速开始
$ git clone https://github.com/ovh/debian-cis.git && cd debian-cis
$ cp debian/default /etc/default/cis-hardening
$ sed -i "s#CIS_LIB_DIR=.*#CIS_LIB_DIR='$(pwd)'/lib#" /etc/default/cis-hardening
$ sed -i "s#CIS_CHECKS_DIR=.*#CIS_CHECKS_DIR='$(pwd)'/bin/hardening#" /etc/default/cis-hardening
$ sed -i "s#CIS_CONF_DIR=.*#CIS_CONF_DIR='$(pwd)'/etc#" /etc/default/cis-hardening
$ sed -i "s#CIS_TMP_DIR=.*#CIS_TMP_DIR='$(pwd)'/tmp#" /etc/default/cis-hardening
$ ./bin/hardening/1.1.1.1_disable_freevxfs.sh --audit
1.1.1.1_disable_freevxfs [INFO] 正在处理 1.1.1.1_disable_freevxfs
1.1.1.1_disable_freevxfs [INFO] [描述] 禁用挂载freevxfs文件系统。
1.1.1.1_disable_freevxfs [INFO] 检查配置
1.1.1.1_disable_freevxfs [INFO] 执行审计
1.1.1.1_disable_freevxfs [ OK ] CONFIG_VXFS_FS 已禁用
1.1.1.1_disable_freevxfs [ OK ] 检查通过
:hammer: 使用方法
配置
加固脚本位于 bin/hardening
。每个脚本都有一个对应的配置文件,位于 etc/conf.d/[脚本名称].cfg
。
每个加固脚本可以在其配置文件中单独启用。例如,这是 disable_system_accounts
的默认配置文件:
# 同名脚本的配置
status=disabled
# 在此处放置关于管理员账户shell的例外情况,用空格分隔
EXCEPTIONS=""
status
参数可以取3个值:
disabled
(不执行任何操作):脚本不会运行。audit
(只读):脚本将检查是否应该应用任何更改。enabled
(读写):脚本将检查是否应该进行任何更改,并自动应用它能应用的内容。
全局配置在 etc/hardening.cfg
中。该文件控制日志级别以及备份目录。当脚本被指示编辑文件时,它会在此目录中创建一个带时间戳的备份。
运行即"加固你的发行版"
要运行检查并应用修复,请执行 bin/hardening.sh
。
此命令有两种主要操作模式:
--audit
:使用所有已启用和审计模式的脚本审计你的系统--apply
:使用所有已启用和审计模式的脚本审计你的系统,并为已启用的脚本应用更改
此外,一些选项增加了更多的细粒度:
--audit-all
可用于强制运行所有审计脚本,包括已禁用的脚本。这不会改变系统。
--audit-all-enable-passed
可作为快速启动配置的方法。它将以审计模式运行所有脚本。如果脚本通过,它将自动为未来的运行启用。如果你已经开始自定义配置,请不要使用此选项。
--sudo
:以普通用户身份审计你的系统,但允许sudo提升权限以读取特定的只读根文件。你需要在 /etc/sudoers.d/ 中提供一个带有 NOPASWD 选项的 sudoers 文件,因为检查是使用 sudo -n
选项执行的,该选项不会提示输入密码。
--batch
:在执行系统审计时,此选项将 LOGLEVEL 设置为 'ok' 并捕获所有输出,以在检查完成后只打印一行,格式如下:
OK|KO OK|KO|WARN{子检查结果} [OK|KO|WARN{...}]
--only <检查编号>
:只运行选定的检查。
--set-hardening-level
:运行所有低于或等于所选级别的检查。
如果你已经开始自定义配置,请不要使用此选项。
--allow-service <服务>
:与 --set-hardening-level 一起使用。修改策略以允许机器上某种类型的服务,如 http、mail 等。
可以多次指定以允许多个服务。
使用 --allow-service-list 获取支持的服务列表。
--set-log-level <级别>
:此选项设置 LOGLEVEL,你可以选择:info、warning、error、ok、debug。
默认值为:info
--create-config-files-only
:仅在 etc/conf.d 中创建配置文件。必须以 root 身份运行,
在以 secaudit 用户身份运行审计之前,以正确设置配置文件的权限。
--allow-unsupported-distribution
:必须在命令行中手动指定,以允许在不兼容的版本或发行版上运行。
如果你想消除警告,请在 /etc/hardening.cfg 中更改 LOGLEVEL
:computer: 黑客攻击
获取源代码
$ git clone https://github.com/ovh/debian-cis.git
构建debian软件包 (非正式方式)
$ debuild -us -uc
添加自定义加固脚本
$ cp src/skel bin/hardening/99.99_custom_script.sh
$ chmod +x bin/hardening/99.99_custom_script.sh
$ cp src/skel.cfg etc/conf.d/99.99_custom_script.cfg
每个自定义检查的编号都以99开头。之后的编号取决于检查所涉及的部分。
如果检查在某种程度上替代了CIS规范中的一项,
你可以使用它替代的检查的编号。例如,我们在 1.4.x
中检查OSSEC(文件完整性)的配置,而CIS建议使用AIDE。
不要忘记在注释中说明它是否是额外检查(CIS建议但不在CIS编号中),遗留检查(来自之前的CIS规范但在最新版本中删除)或OVHcloud安全检查。 (OVHcloud安全策略的一部分)
编写你的检查,解释它做什么,然后如果你想测试
$ sed -i "s/status=.+/status=enabled/" etc/conf.d/99.99_custom_script.cfg
$ ./bin/hardening/99.99_custom_script.sh
:sparkles: 功能测试
提供了功能测试。它们需要在Docker环境中运行。
$ ./tests/docker_build_and_run_tests.sh <目标> [测试脚本名称...]
其中 目标
可以是 debian10
或 debian11
等。
不带脚本参数运行将执行 ./tests/hardening/
目录中的所有测试。
也可以指定一个或多个要运行的测试脚本。
这将根据项目的当前状态构建一个新的 Docker 镜像,并运行一个容器,对每个检查项评估一个空白 Debian 系统的合规性。
对于加固审计点,预期审计会失败,然后进行修复,以便第二次运行审计时能够成功。
对于易受攻击的项目,预期在空白系统上审计会成功,然后功能测试会引入一个弱点,预期在第二次运行审计测试时能够检测到。最后,运行 debian-cis 脚本的 apply
部分将恢复合规状态,预期通过第三次运行审计检查来评估。
功能测试可以使用以下辅助函数:
describe <测试描述>
run <用例> <审计脚本> <审计脚本选项>
register_test <测试内容(见下文)>
retvalshoudbe <整数>
检查脚本返回值contain "<样本文本>"
检查输出是否包含以下文本
要编写自己的功能测试,可以在 ./src/skel.test
中找到代码骨架。
一些测试带有免责声明,警告我们只在空白主机上测试,不会测试应用功能。这是因为检查非常基本(如软件包安装),对其进行测试并非真正必要。
此外,某些测试在 docker 上被禁用,因为它们不适用(内核模块、grub、分区等)。 可以使用以下方式在 docker 上禁用检查:
if [ -f "/.dockerenv" ]; then
skip "在 docker 上跳过"
else
...
fi
:art: 编码风格
Shellcheck
我们使用 Shellcheck 来检查脚本的正确性并遵守最佳实践。
它可以直接在 docker 环境中使用,以检查所有脚本的合规性。默认情况下,它会对所有找到的 .sh
文件运行。
$ ./shellcheck/launch_shellcheck.sh [脚本名称...]
Shellfmt
我们使用 Shellfmt 来检查样式并在每个脚本中保持一致的风格。 与 shellcheck 类似,可以通过以下脚本运行:
$ ./shellfmt/launch_shellfmt.sh
它会自动修复每个脚本中的任何样式问题。
:heavy_exclamation_mark: 免责声明
本项目是一组工具。它们旨在帮助系统管理员构建安全环境。虽然我们在 OVHcloud 使用它来加固我们符合 PCI-DSS 标准的基础设施,但我们不能保证它对您也适用。它不会神奇地保护任何随机主机。
关于本仓库的编号、实现和长期可持续性的说明: 该项目始于 2016 年的 Debian 7 发行版。随着时间推移,CIS Benchmark PDF 不断演变,改变了编号,删除了过时的检查项。 为了与最后维护的 Debian 保持向后兼容性,编号并未随 PDF 一起更改,因为配置脚本是根据它命名的。 更改编号可能会破坏多年来使用它的管理员的自动化,并且在不破坏任何东西的情况下处理这个问题需要大规模重构。 因此,请不要担心编号,检查项目都在那里,但跨 PDF 的编号可能会有所不同。 另请注意,CIS Benchmark PDF 中的所有检查项可能并未在这组脚本中实现。 我们选择了对我们 OVHcloud 最相关的检查项,如果您认为有遗漏的脚本对您很重要,请随时提交拉取请求以添加它。
此外,引用许可证:
本软件由 OVH SAS 及贡献者 "按原样" 提供,不提供任何明示或暗示的保证,包括但不限于对适销性和特定用途适用性的暗示保证。在任何情况下,OVHcloud SAS 及贡献者均不对任何直接、间接、附带、特殊、示例性或后果性损害(包括但不限于替代商品或服务的采购;使用、数据或利润的损失;或业务中断)承担责任,无论是基于合同、严格责任还是侵权行为(包括疏忽或其他)的任何责任理论,即使被告知可能发生此类损害。
:satellite: 参考
:page_facing_up: 许可证
Apache,2.0 版本