Code Review / icn.git / blob
? search:


8af18935e4b56545bee3afb6735c3e6a602111f0
[icn.git] / deploy / cluster / resources / harden_os.sh
1 #!/usr/bin/env bash
2 set -eux -o pipefail
3
4 function append {
5     local -r line=$1
6     local -r file=$2
7     if [[ $(grep -c "${line}" ${file}) == 0 ]]; then
8         echo "${line}" >>${file}
9     fi
10 }
11
12 function replace_or_append {
13     local -r pattern=$1
14     local -r line=$2
15     local -r file=$3
16     sed -i -E '/'"${pattern}"'/ s/.*/'"${line}"'/w /tmp/changelog.txt' ${file}
17     if [[ ! -s /tmp/changelog.txt ]]; then
18         echo "${line}" >>${file}
19     fi
20 }
21
22 function replace_or_insert_before {
23     local -r pattern=$1
24     local -r line=$2
25     local -r before=$3
26     local -r file=$4
27     sed -i -E '/'"${pattern}"'/ s/.*/'"${line}"'/w /tmp/changelog.txt' ${file}
28     if [[ ! -s /tmp/changelog.txt ]]; then
29         cp ${file} ${file}.bak
30         awk '/'"${before}"'/ {print "'"${line}"'"}1' ${file}.bak >${file}
31         rm ${file}.bak
32     fi
33 }
34
35 function replace_or_insert_after {
36     local -r pattern=$1
37     local -r line=$2
38     local -r after=$3
39     local -r file=$4
40     sed -i -E '/'"${pattern}"'/ s/.*/'"${line}"'/w /tmp/changelog.txt' ${file}
41     if [[ ! -s /tmp/changelog.txt ]]; then
42         cp ${file} ${file}.bak
43         awk '/'"${after}"'/ {print; print "'"${line}"'"; next}1' ${file}.bak >${file}
44         rm ${file}.bak
45     fi
46 }
47
48 # Check for GRUB boot password
49 # Set user and password in GRUB configuration
50 # Password hash generated with grub-mkpasswd-pbkdf2, password: root
51 # TODO This is currently disabled as it interferes with the reboot in set_kernel_cmdline.sh
52 # cat <<END >>/etc/grub.d/00_header
53 # cat <<EOF
54 # set superusers="root"
55 # password_pbkdf2 root grub.pbkdf2.sha512.10000.E4F52CBE09DFC3C338A314E9EDC8AA682BB2832A35FF2FF9E1D12D30EB3D58E9DDE023F88B8A82CD7BF5FC8138500CD0E67174EBA6EFACF98635A693C5AD4BB9.BB41DC42C8E2C68723B94F14F5F1E43845054A7D443C80F074E9B41C44927FEA2832B0E23C83E6B7C5E1D740B67756FA3093DA9A99B2E461A20F4831BBB289AF
56 # EOF
57 # END
58 # update-grub
59
60 # Check password hashing methods
61 # Check /etc PAM and configure algorithm rounds
62 sed -i -E 's/^(password\s+.*sha512)$/\1 rounds=10000/' /etc/pam.d/common-password
63 echo "Passwords in /etc/shadow must be encrypted with new values"
64
65 # Check group password hashing rounds
66 # Configure minimum encryption algorithm rounds in /etc/login.defs
67 replace_or_insert_after '^\s*SHA_CRYPT_MIN_ROUNDS\s+' 'SHA_CRYPT_MIN_ROUNDS 10000' '^#\s+SHA_CRYPT_MIN_ROUNDS' /etc/login.defs
68 # Configure maximum encryption algorithm rounds in /etc/login.defs
69 replace_or_insert_after '^\s*SHA_CRYPT_MAX_ROUNDS\s+' 'SHA_CRYPT_MAX_ROUNDS 10000' '^#\s+SHA_CRYPT_MAX_ROUNDS' /etc/login.defs
70
71 # Checking user password aging
72 # Set PASS_MAX_DAYS option in /etc/login.defs
73 # PASS_MAX_DAYS of 99999 is considered unconfigued by lynis
74 replace_or_insert_before '^\s*PASS_MAX_DAYS\s+' 'PASS_MAX_DAYS 99000' '^PASS_MIN_DAYS' /etc/login.defs
75
76 # Default umask values
77 # Set default umask in /etc/login.defs to more strict
78 replace_or_append '^\s*UMASK\s+' 'UMASK 027' /etc/login.defs
79
80 # Check for presence of USBGuard
81 # Ensure USBGuard is installed
82 apt-get -y install usbguard
83 # TODO USB hubs and HID device must be enabled for BMC Console Redirection
84 # Authorize USB hubs in USBGuard daemon
85 append 'allow with-interface equals { 09:00:\* }' /etc/usbguard/rules.conf
86 # Authorize multi-function Human Interface Devices
87 append 'allow with-interface equals { 03:\*:\* 03:\*:\* }' /etc/usbguard/rules.conf
88 # Set PresentControllerPolicy to apply-policy in USBGuard daemon
89 sed -i -E 's/^PresentControllerPolicy\s*=\s*keep/PresentControllerPolicy=apply-policy/' /etc/usbguard/usbguard-daemon.conf
90 chmod 0600 /etc/usbguard/rules.conf
91 systemctl restart usbguard
92
93 # Checking for debsums utility
94 # Install debsums utility
95 apt-get -y install debsums
96
97 # Check SSH specific defined options
98 # Disable AllowTcpForwarding
99 replace_or_append '^\s*AllowTcpForwarding\s+' 'AllowTcpForwarding no' /etc/ssh/sshd_config
100 # Set ClientAliveCountMax to 2
101 replace_or_append '^\s*ClientAliveCountMax\s+' 'ClientAliveCountMax 2' /etc/ssh/sshd_config
102 # Set MaxAuthTries to 3
103 replace_or_append '^\s*MaxAuthTries\s+' 'MaxAuthTries 3' /etc/ssh/sshd_config
104 # Set MaxSessions to 2
105 # TODO MaxSessions of 2 prevents lynis from running under bluval
106 replace_or_append '^\s*MaxSessions\s+' 'MaxSessions 10' /etc/ssh/sshd_config
107 # Set server Port to 2222
108 # TODO lynis, etc. robot files need to be updated to handle a different port
109 replace_or_append '^\s*Port\s+' 'Port 22' /etc/ssh/sshd_config
110 # Set client Port to 2222
111 # TODO lynis, etc. robot files need to be updated to handle a different port
112 replace_or_append '^\s*Port\s+' '    Port 22' /etc/ssh/ssh_config
113 # Disable TCPKeepAlive
114 replace_or_append '^\s*TCPKeepAlive\s+' 'TCPKeepAlive no' /etc/ssh/sshd_config
115 # Restrict SSH to administrators
116 replace_or_append '^\s*AllowGroups\s+' 'AllowGroups root sudo' /etc/ssh/sshd_config
117 # Restart SSH
118 systemctl restart ssh
119
120 # Check sysctl key pairs in scan profile
121 cat <<EOF >/etc/sysctl.d/99-zzz-icn.conf
122 fs.suid_dumpable = 0
123 kernel.core_uses_pid = 1
124 kernel.dmesg_restrict = 1
125 kernel.kptr_restrict = 2
126 kernel.sysrq = 0
127 net.ipv4.conf.all.accept_redirects = 0
128 # TODO forwarding required by k8s
129 # net.ipv4.conf.all.forwarding = 0
130 net.ipv4.conf.all.log_martians = 1
131 net.ipv4.conf.all.rp_filter = 1
132 net.ipv4.conf.all.send_redirects = 0
133 net.ipv4.conf.default.accept_redirects = 0
134 net.ipv4.conf.default.accept_source_route = 0
135 net.ipv4.conf.default.log_martians = 1
136 net.ipv6.conf.all.accept_redirects = 0
137 net.ipv6.conf.default.accept_redirects = 0
138 EOF
139 sysctl --system
140
141 # Check compiler permissions
142 # Uninstall compilers
143 apt-get -y remove gcc binutils