roles/ops-hardening/tasks/main.yaml

   1 ---
   2
   3 # Copyright 2019 Nokia
   4
   5 # Licensed under the Apache License, Version 2.0 (the "License");
   6 # you may not use this file except in compliance with the License.
   7 # You may obtain a copy of the License at
   8 #
   9 #     http://www.apache.org/licenses/LICENSE-2.0
  10 #
  11 # Unless required by applicable law or agreed to in writing, software
  12 # distributed under the License is distributed on an "AS IS" BASIS,
  13 # WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
  14 # See the License for the specific language governing permissions and
  15 # limitations under the License.
  16
  17 #
  18 # Linux password hardening
  19 #
  20
  21 - name: "Set Password Strength Minimum Digit Characters."
  22   lineinfile:
  23     path: /etc/security/pwquality.conf
  24     regexp: '^[#\s]*dcredit'
  25     line: 'dcredit = -1'
  26
  27 - name: "Set Password Minimum Length."
  28   lineinfile:
  29     path: /etc/security/pwquality.conf
  30     regexp: '^[#\s]*minlen'
  31     line: 'minlen = 8'
  32
  33 - name: "Set Password Strength Minimum Uppercase Characters."
  34   lineinfile:
  35     path: /etc/security/pwquality.conf
  36     regexp: '^[#\s]*ucredit'
  37     line: 'ucredit = -1'
  38
  39 - name: "Set Password Strength Minimum Special Characters."
  40   lineinfile:
  41     path: /etc/security/pwquality.conf
  42     regexp: '^[#\s]*ocredit'
  43     line: 'ocredit = -1'
  44
  45 - name: "Set Password Strength Minimum Lowercase Characters."
  46   lineinfile:
  47     path: /etc/security/pwquality.conf
  48     regexp: '^[#\s]*lcredit'
  49     line: 'lcredit = -1'
  50
  51 - name: "Set Password Strength Minimum Different Categories."
  52   lineinfile:
  53     path: /etc/security/pwquality.conf
  54     regexp: '^[#\s]*minclass'
  55     line: 'minclass = 3'
  56
  57 - name: "Set Password Minimum Length in login.defs"
  58   lineinfile:
  59     path: /etc/login.defs
  60     regexp: '^PASS_MIN_LEN[\s]*[0-9]*$'
  61     line: 'PASS_MIN_LEN   8'
  62
  63 - name: "Set Password Minimum Age"
  64   lineinfile:
  65     path: /etc/login.defs
  66     regexp: '^PASS_MIN_DAYS[\s]*[0-9]*$'
  67     line: 'PASS_MIN_DAYS   0'
  68
  69 #
  70 # Linux Failed password attempts
  71 #
  72
  73 - name: "Set Deny for failed password attempts 1"
  74   lineinfile:
  75     path: "{{item}}"
  76     insertbefore: '^auth[\s]*sufficient[\s]*pam_unix.so'
  77     line: 'auth        required      pam_faillock.so preauth silent audit deny=3 unlock_time=3600 fail_interval=900'
  78   with_items:
  79     - /etc/pam.d/system-auth-ac
  80     - /etc/pam.d/password-auth-ac
  81   tags:
  82     - REC-443
  83
  84 - name: "Set Deny for failed password attempts 2"
  85   lineinfile:
  86     path: "{{item}}"
  87     insertafter: '^auth[\s]*sufficient[\s]*pam_unix.so'
  88     line: 'auth        [default=die]  pam_faillock.so authfail audit deny=3 unlock_time=3600 fail_interval=900'
  89   with_items:
  90     - /etc/pam.d/system-auth-ac
  91     - /etc/pam.d/password-auth-ac
  92   tags:
  93     - REC-443
  94
  95 - name: "Set Deny for failed password attempts 3"
  96   lineinfile:
  97     path: "{{item}}"
  98     insertbefore: '^account[\s]*required[\s]*pam_unix.so'
  99     line: 'account     required      pam_faillock.so'
 100   with_items:
 101     - /etc/pam.d/system-auth-ac
 102     - /etc/pam.d/password-auth-ac
 103   tags:
 104     - REC-443
 105
 106 - name: "Set Account expiration following inactivity"
 107   lineinfile:
 108     create: yes
 109     path: "/etc/default/useradd"
 110     regexp: "^INACTIVE"
 111     line: "INACTIVE=35"
 112   tags:
 113     - REC-443
 114
 115 #
 116 # YUM config
 117 #
 118
 119 - name: "Ensure YUM Removes Previous Package Versions"
 120   lineinfile:
 121     path: /etc/yum.conf
 122     insertafter: '^[#\s]*\[main\]'
 123     line: 'clean_requirements_on_remove = 1'
 124
 125 - name: "Ensure gpgcheck Enabled for Local Packages"
 126   lineinfile:
 127     path: /etc/yum.conf
 128     insertafter: '^[#\s]*\[main\]'
 129     line: 'localpkg_gpgcheck = 1'
 130
 131 #
 132 # Setting Ctrl-Alt-Del action
 133 #
 134
 135 - name: "Disable Ctrl-Alt-Del Burst Action"
 136   lineinfile:
 137     path: /etc/systemd/system.conf
 138     insertafter: '^[#\s]*CtrlAltDelBurstAction'
 139     line: 'CtrlAltDelBurstAction=none'
 140
 141 - name: "Disable Ctrl-Alt-Del Reboot Activation"
 142   command: systemctl mask ctrl-alt-del.target
 143
 144 #
 145 # Configure kernel modules
 146 #
 147
 148 - name: "kernel module setting"
 149   lineinfile:
 150     create=yes
 151     dest="/etc/modprobe.d/{{item}}.conf"
 152     regexp="{{item}}"
 153     line="install {{item}} /bin/true"
 154   with_items:
 155     - bluetooth
 156     - dccp
 157     - squashfs
 158     - hfsplus
 159     - hfs
 160     - jffs2
 161     - freevxfs
 162     - cramfs
 163     - usb-storage
 164     - udf
 165     - nfsd
 166
 167 #
 168 # Disable interactive boot
 169 #
 170
 171 - name:  Verify that Interactive Boot is Disabled GRUB_CMDLINE_LINUX Setting
 172   lineinfile:
 173     path: /etc/default/grub
 174     backrefs: yes
 175     regexp: '^GRUB_CMDLINE_LINUX=(.*)systemd\.confirm_spawn=(1|yes|true|on)\s*(.*)$'
 176     line: 'GRUB_CMDLINE_LINUX=\1\3'
 177
 178 - name:  Verify that Interactive Boot is Disabled GRUB_CMDLINE_LINUX_DEFAULT Setting
 179   lineinfile:
 180     path: /etc/default/grub
 181     backrefs: yes
 182     regexp: '^GRUB_CMDLINE_LINUX_DEFAULT=(.*)systemd\.confirm_spawn=(1|yes|true|on)\s*(.*)$'
 183     line: 'GRUB_CMDLINE_LINUX_DEFAULT=\1\3'
 184
 185 #
 186 # Set file permissions
 187 #
 188
 189 - name: "Set set the 600 file permissions"
 190   file:
 191     path: "{{item}}"
 192     state: touch
 193     mode: 600
 194   with_items:
 195     - /boot/grub2/grub.cfg
 196     - /var/log/boot.log
 197     - /var/log/cron
 198
 199 #
 200 # Disable direct root login
 201 #
 202
 203 - name: "Direct root Logins Not Allowed"
 204   shell: echo > /etc/securetty
 205
 206 - name: Change 'root' shell to nologin
 207   user:
 208     name: root
 209     shell: /sbin/nologin
 210
 211 - name: Lock 'root' password
 212   user:
 213     name: root
 214     password: '!!'
 215
 216 #
 217 # Configure IPv6
 218 #
 219
 220 - name: Disable ipv6 support if the ipv6 is not needed
 221   when: ansible_default_ipv6|length == 0
 222   sysctl:
 223     name: net.ipv6.conf.all.disable_ipv6
 224     value: 1
 225     state: present
 226     reload: yes
 227
 228 - name: Disable Support for udp6
 229   when: ansible_default_ipv6|length == 0
 230   lineinfile:
 231     path: /etc/netconfig
 232     state: absent
 233     regexp: '^udp6.*'
 234
 235 - name: Disable Support for tcp6
 236   when: ansible_default_ipv6|length == 0
 237   lineinfile:
 238     path: /etc/netconfig
 239     state: absent
 240     regexp: '^tcp6.*'
 241
 242 - name: Disable automatic ipv6 configuration
 243   when: ansible_default_ipv6|length > 0
 244   sysctl:
 245     name: "{{ item.name }}"
 246     value: "{{ item.value }}"
 247     state: present
 248     reload: yes
 249   with_items:
 250     - { name: 'net.ipv6.conf.all.accept_source_route', value: 0 }
 251     - { name: 'net.ipv6.conf.all.accept_ra', value: 0 }
 252     - { name: 'net.ipv6.conf.default.accept_ra', value: 0 }
 253     - { name: 'net.ipv6.conf.all.accept_redirects', value: 0 }
 254     - { name: 'net.ipv6.conf.default.accept_redirects', value: 0 }
 255     - { name: 'net.ipv6.conf.default.accept_source_route', value: 0 }
 256     - { name: 'net.ipv6.conf.all.forwarding', value: 0 }
 257
 258 #
 259 # Configure kernel parameters
 260 #
 261
 262 - name: Configure the kernel parameters
 263   sysctl:
 264     name: "{{ item.name }}"
 265     value: "{{ item.value }}"
 266     state: present
 267     reload: yes
 268   with_items:
 269     - { name: 'net.ipv4.conf.default.send_redirects', value: 0 }
 270     - { name: 'net.ipv4.conf.all.send_redirects', value: 0 }
 271     - { name: 'net.ipv4.ip_forward', value: 0 }
 272     - { name: 'net.ipv4.conf.all.accept_redirects', value: 0 }
 273     - { name: 'net.ipv4.conf.all.secure_redirects', value: 0 }
 274     - { name: 'net.ipv4.conf.all.log_martians', value: 1 }
 275     - { name: 'net.ipv4.conf.default.log_martians', value: 1 }
 276     - { name: 'net.ipv4.conf.default.accept_redirects', value: 0 }
 277     - { name: 'net.ipv4.conf.default.secure_redirects', value: 0 }
 278     - { name: 'net.ipv4.icmp_echo_ignore_broadcasts', value: 1 }
 279     - { name: 'net.ipv4.icmp_ignore_bogus_error_responses', value: 1 }
 280     - { name: 'net.ipv4.tcp_syncookies', value: 1 }
 281     - { name: 'fs.suid_dumpable', value: 0 }
 282     - { name: 'kernel.dmesg_restrict', value: 1 }
 283     - { name: 'kernel.core_uses_pid', value: 1 }
 284     - { name: 'kernel.randomize_va_space', value: 2 }
 285     - { name: 'kernel.core_pattern', value: '/var/core/core'}
 286
 287 #
 288 # Configure core dump
 289 #
 290
 291 - name: "Disable core dump for all user"
 292   lineinfile:
 293     path: /etc/security/limits.conf
 294     insertbefore: '^[a-z].*'
 295     line: '*               hard    core            0'
 296
 297 - name: "Configure systemd not to store core dumps"
 298   lineinfile:
 299     path: /etc/systemd/coredump.conf
 300     insertafter: '^\[Coredump\]'
 301     line: 'Storage=none'
 302
 303 #
 304 # Configure syslog
 305 #
 306 - name: "Stop rsyslog Service"
 307   shell: systemctl stop rsyslog.service
 308
 309 - name: "Disable rsyslog Service"
 310   shell: systemctl disable rsyslog.service
 311
 312 - name: "Ensure the /var/log/boot.log Rotated by logrotate"
 313   lineinfile:
 314     path: /etc/logrotate.d/syslog
 315     insertbefore: 'cron$'
 316     line: /var/log/boot.log
 317
 318 - name: "Set the umasks by profile file"
 319   lineinfile:
 320     path: /etc/profile
 321     regexp: '{{ item.old }}'
 322     line: '{{ item.new }}'
 323   with_items:
 324     - { old: 'umask 002', new: umask 027 }
 325     - { old: 'umask 022', new: umask 077 }
 326
 327 #
 328 # Keystone config
 329 #
 330
 331 - name: Set the max_request_body_size in the keystone.conf
 332   lineinfile:
 333     path: /etc/keystone/keystone.conf
 334     insertafter: 'DEFAULT'
 335     line: "# enforced by optional sizelimit middleware (keystone.middleware:RequestBodySizeLimiter)\nmax_request_body_size = 114688\n"
 336
 337 - name: Set the insecure_debug in the keystone.conf
 338   lineinfile:
 339     path: /etc/keystone/keystone.conf
 340     insertafter: 'DEFAULT'
 341     line: "# If set to true, then the server will return information in HTTP responses\n# that may allow an unauthenticated or authenticated user to get more\n# information than normal, such as additional details about why authentication\n# failed. This may be useful for debugging but is insecure. (boolean value)\ninsecure_debug = false\n"
 342
 343 #
 344 #Setting bootloader password
 345 #
 346 - name: set host os variable
 347   when: host_os is defined
 348   set_fact:
 349     grub2_pass: "{{  host_os.grub2_password | default('Empty')  }}"
 350
 351 - name: protect grub with root password
 352   when: grub2_pass is defined and grub2_pass != 'Empty'
 353   blockinfile:
 354     dest: /etc/grub.d/40_custom
 355     state: present
 356     insertafter: 'EOF'
 357     content: |
 358       # define superusers
 359       set superusers="root"
 360       #define users
 361       password_pbkdf2 root "{{ grub2_pass }}"
 362
 363 - name: generate grub config
 364   when: grub2_pass is defined and grub2_pass != 'Empty'
 365   command: /usr/sbin/grub2-mkconfig -o /boot/grub2/grub.cfg
 366
 367 #
 368 #Setting the noexec option to the /dev/shm mount dir
 369 #
 370
 371 - name: get back device associated to mountpoint
 372   shell: mount | grep ' /dev/shm ' |cut -d ' ' -f 1
 373   register: device_name
 374   check_mode: no
 375
 376 - name: get back device previous mount option
 377   shell: mount | grep ' /dev/shm ' | sed -re 's:.*\((.*)\):\1:'
 378   register: device_cur_mountoption
 379   check_mode: no
 380
 381 - name: get back device fstype
 382   shell: mount | grep ' /dev/shm ' | cut -d ' ' -f 5
 383   register: device_fstype
 384   check_mode: no
 385
 386 - name: Ensure permission noexec are set on /dev/shm
 387   mount:
 388     path: "/dev/shm"
 389     src: "{{device_name.stdout}}"
 390     opts: "{{device_cur_mountoption.stdout}},noexec"
 391     state: "mounted"
 392     fstype: "{{device_fstype.stdout}}"
 393
 394 #
 395 # Disable NFS service
 396 #
 397
 398 - name: disable NFS related services
 399   service:
 400     name: "{{ item }}"
 401     enabled: no
 402     state: stopped
 403   ignore_errors: yes
 404   with_items:
 405     - nfslock
 406     - rpcgssd
 407     - rpcidmapd
 408     - nfs-idmap
 409     - nfs-server
 410     - nfs
 411
 412 - name: remove nfs-utils package
 413   yum:
 414     name: nfs-utils
 415     state: absent
 416
 417 #
 418 # Setting file permissions
 419 #
 420
 421 #- name: "Remove the other user write permission from the system directorys"
 422 #  command: find / -xdev \( -perm -0002 -a ! -perm -1000 \) -type d -exec chmod o-w {} \;
 423 #
 424 #- name: "Remove the other user write permission from the system files"
 425 #  command: find / -xdev -perm -0002 -type f -exec chmod o-w {} \;
 426 #
 427 #- name: "Modified the unauthorized SUID/SGID system executables"
 428 #  command: sudo chmod -s $(sudo find / -xdev \( -perm -4000 -o -perm -2000 \) -type f | grep -v sudo)