roles/ops-hardening/tasks/main.yaml

   1 ---
   2
   3 # Copyright 2019 Nokia
   4
   5 # Licensed under the Apache License, Version 2.0 (the "License");
   6 # you may not use this file except in compliance with the License.
   7 # You may obtain a copy of the License at
   8 #
   9 #     http://www.apache.org/licenses/LICENSE-2.0
  10 #
  11 # Unless required by applicable law or agreed to in writing, software
  12 # distributed under the License is distributed on an "AS IS" BASIS,
  13 # WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
  14 # See the License for the specific language governing permissions and
  15 # limitations under the License.
  16
  17 #
  18 # Linux password hardening
  19 #
  20
  21 - name: "Set Password Strength Minimum Digit Characters."
  22   lineinfile:
  23     path: /etc/security/pwquality.conf
  24     regexp: '^[#\s]*dcredit'
  25     line: 'dcredit = -1'
  26
  27 - name: "Set Password Minimum Length."
  28   lineinfile:
  29     path: /etc/security/pwquality.conf
  30     regexp: '^[#\s]*minlen'
  31     line: 'minlen = 8'
  32
  33 - name: "Set Password Strength Minimum Uppercase Characters."
  34   lineinfile:
  35     path: /etc/security/pwquality.conf
  36     regexp: '^[#\s]*ucredit'
  37     line: 'ucredit = -1'
  38
  39 - name: "Set Password Strength Minimum Special Characters."
  40   lineinfile:
  41     path: /etc/security/pwquality.conf
  42     regexp: '^[#\s]*ocredit'
  43     line: 'ocredit = -1'
  44
  45 - name: "Set Password Strength Minimum Lowercase Characters."
  46   lineinfile:
  47     path: /etc/security/pwquality.conf
  48     regexp: '^[#\s]*lcredit'
  49     line: 'lcredit = -1'
  50
  51 - name: "Set Password Strength Minimum Different Categories."
  52   lineinfile:
  53     path: /etc/security/pwquality.conf
  54     regexp: '^[#\s]*minclass'
  55     line: 'minclass = 3'
  56
  57 - name: "Set Password Minimum Length in login.defs"
  58   lineinfile:
  59     path: /etc/login.defs
  60     regexp: '^PASS_MIN_LEN[\s]*[0-9]*$'
  61     line: 'PASS_MIN_LEN   8'
  62
  63 - name: "Set Password Minimum Age"
  64   lineinfile:
  65     path: /etc/login.defs
  66     regexp: '^PASS_MIN_DAYS[\s]*[0-9]*$'
  67     line: 'PASS_MIN_DAYS   0'
  68
  69 #
  70 # YUM config
  71 #
  72
  73 - name: "Ensure YUM Removes Previous Package Versions"
  74   lineinfile:
  75     path: /etc/yum.conf
  76     insertafter: '^[#\s]*\[main\]'
  77     line: 'clean_requirements_on_remove = 1'
  78
  79 - name: "Ensure gpgcheck Enabled for Local Packages"
  80   lineinfile:
  81     path: /etc/yum.conf
  82     insertafter: '^[#\s]*\[main\]'
  83     line: 'localpkg_gpgcheck = 1'
  84
  85 #
  86 # Setting Ctrl-Alt-Del action
  87 #
  88
  89 - name: "Disable Ctrl-Alt-Del Burst Action"
  90   lineinfile:
  91     path: /etc/systemd/system.conf
  92     insertafter: '^[#\s]*CtrlAltDelBurstAction'
  93     line: 'CtrlAltDelBurstAction=none'
  94
  95 - name: "Disable Ctrl-Alt-Del Reboot Activation"
  96   command: systemctl mask ctrl-alt-del.target
  97
  98 #
  99 # Configure kernel modules
 100 #
 101
 102 - name: "kernel module setting"
 103   lineinfile:
 104     create=yes
 105     dest="/etc/modprobe.d/{{item}}.conf"
 106     regexp="{{item}}"
 107     line="install {{item}} /bin/true"
 108   with_items:
 109     - bluetooth
 110     - dccp
 111     - squashfs
 112     - hfsplus
 113     - hfs
 114     - jffs2
 115     - freevxfs
 116     - cramfs
 117     - usb-storage
 118     - udf
 119
 120 #
 121 # Disable interactive boot
 122 #
 123
 124 - name:  Verify that Interactive Boot is Disabled GRUB_CMDLINE_LINUX Setting
 125   lineinfile:
 126     path: /etc/default/grub
 127     backrefs: yes
 128     regexp: '^GRUB_CMDLINE_LINUX=(.*)systemd\.confirm_spawn=(1|yes|true|on)\s*(.*)$'
 129     line: 'GRUB_CMDLINE_LINUX=\1\3'
 130
 131 - name:  Verify that Interactive Boot is Disabled GRUB_CMDLINE_LINUX_DEFAULT Setting
 132   lineinfile:
 133     path: /etc/default/grub
 134     backrefs: yes
 135     regexp: '^GRUB_CMDLINE_LINUX_DEFAULT=(.*)systemd\.confirm_spawn=(1|yes|true|on)\s*(.*)$'
 136     line: 'GRUB_CMDLINE_LINUX_DEFAULT=\1\3'
 137
 138 #
 139 # Set file permissions
 140 #
 141
 142 - name: "Set set the 600 file permissions"
 143   file:
 144     path: "{{item}}"
 145     state: touch
 146     mode: 600
 147   with_items:
 148     - /boot/grub2/grub.cfg
 149     - /var/log/boot.log
 150     - /var/log/cron
 151
 152 #
 153 # Disable direct root login
 154 #
 155
 156 - name: "Direct root Logins Not Allowed"
 157   shell: echo > /etc/securetty
 158
 159 - name: Change 'root' shell to nologin
 160   user:
 161     name: root
 162     shell: /sbin/nologin
 163
 164 - name: Lock 'root' password
 165   user:
 166     name: root
 167     password: '!!'
 168
 169 #
 170 # Configure IPv6
 171 #
 172
 173 - name: Disable ipv6 support if the ipv6 is not needed
 174   when: ansible_default_ipv6|length == 0
 175   sysctl:
 176     name: net.ipv6.conf.all.disable_ipv6
 177     value: 1
 178     state: present
 179     reload: yes
 180
 181 - name: Disable Support for udp6
 182   when: ansible_default_ipv6|length == 0
 183   lineinfile:
 184     path: /etc/netconfig
 185     state: absent
 186     regexp: '^udp6.*'
 187
 188 - name: Disable Support for tcp6
 189   when: ansible_default_ipv6|length == 0
 190   lineinfile:
 191     path: /etc/netconfig
 192     state: absent
 193     regexp: '^tcp6.*'
 194
 195 - name: Disable automatic ipv6 configuration
 196   when: ansible_default_ipv6|length > 0
 197   sysctl:
 198     name: "{{ item.name }}"
 199     value: "{{ item.value }}"
 200     state: present
 201     reload: yes
 202   with_items:
 203     - { name: 'net.ipv6.conf.all.accept_source_route', value: 0 }
 204     - { name: 'net.ipv6.conf.all.accept_ra', value: 0 }
 205     - { name: 'net.ipv6.conf.default.accept_ra', value: 0 }
 206     - { name: 'net.ipv6.conf.all.accept_redirects', value: 0 }
 207     - { name: 'net.ipv6.conf.default.accept_redirects', value: 0 }
 208     - { name: 'net.ipv6.conf.default.accept_source_route', value: 0 }
 209     - { name: 'net.ipv6.conf.all.forwarding', value: 0 }
 210
 211 #
 212 # Configure kernel parameters
 213 #
 214
 215 - name: Configure the kernel parameters
 216   sysctl:
 217     name: "{{ item.name }}"
 218     value: "{{ item.value }}"
 219     state: present
 220     reload: yes
 221   with_items:
 222     - { name: 'net.ipv4.conf.default.send_redirects', value: 0 }
 223     - { name: 'net.ipv4.conf.all.send_redirects', value: 0 }
 224     - { name: 'net.ipv4.ip_forward', value: 0 }
 225     - { name: 'net.ipv4.conf.all.accept_redirects', value: 0 }
 226     - { name: 'net.ipv4.conf.all.secure_redirects', value: 0 }
 227     - { name: 'net.ipv4.conf.all.log_martians', value: 1 }
 228     - { name: 'net.ipv4.conf.default.log_martians', value: 1 }
 229     - { name: 'net.ipv4.conf.default.accept_redirects', value: 0 }
 230     - { name: 'net.ipv4.conf.default.secure_redirects', value: 0 }
 231     - { name: 'net.ipv4.icmp_echo_ignore_broadcasts', value: 1 }
 232     - { name: 'net.ipv4.icmp_ignore_bogus_error_responses', value: 1 }
 233     - { name: 'net.ipv4.tcp_syncookies', value: 1 }
 234     - { name: 'fs.suid_dumpable', value: 0 }
 235     - { name: 'kernel.dmesg_restrict', value: 1 }
 236     - { name: 'kernel.core_uses_pid', value: 1 }
 237     - { name: 'kernel.randomize_va_space', value: 2 }
 238     - { name: 'kernel.core_pattern', value: '/var/core/core'}
 239
 240 #
 241 # Configure core dump
 242 #
 243
 244 - name: "Disable core dump for all user"
 245   lineinfile:
 246     path: /etc/security/limits.conf
 247     insertbefore: '^[a-z].*'
 248     line: '*               hard    core            0'
 249
 250 - name: "Configure systemd not to store core dumps"
 251   lineinfile:
 252     path: /etc/systemd/coredump.conf
 253     insertafter: '^\[Coredump\]'
 254     line: 'Storage=none'
 255
 256 #
 257 # Configure syslog
 258 #
 259 - name: "Stop rsyslog Service"
 260   shell: systemctl stop rsyslog.service
 261
 262 - name: "Disable rsyslog Service"
 263   shell: systemctl disable rsyslog.service
 264
 265 - name: "Ensure the /var/log/boot.log Rotated by logrotate"
 266   lineinfile:
 267     path: /etc/logrotate.d/syslog
 268     insertbefore: 'cron$'
 269     line: /var/log/boot.log
 270
 271 - name: "Set the umasks by profile file"
 272   lineinfile:
 273     path: /etc/profile
 274     regexp: '{{ item.old }}'
 275     line: '{{ item.new }}'
 276   with_items:
 277     - { old: 'umask 002', new: umask 027 }
 278     - { old: 'umask 022', new: umask 077 }
 279
 280 #
 281 # Keystone config
 282 #
 283
 284 - name: Set the max_request_body_size in the keystone.conf
 285   lineinfile:
 286     path: /etc/keystone/keystone.conf
 287     insertafter: 'DEFAULT'
 288     line: "# enforced by optional sizelimit middleware (keystone.middleware:RequestBodySizeLimiter)\nmax_request_body_size = 114688\n"
 289
 290 - name: Set the insecure_debug in the keystone.conf
 291   lineinfile:
 292     path: /etc/keystone/keystone.conf
 293     insertafter: 'DEFAULT'
 294     line: "# If set to true, then the server will return information in HTTP responses\n# that may allow an unauthenticated or authenticated user to get more\n# information than normal, such as additional details about why authentication\n# failed. This may be useful for debugging but is insecure. (boolean value)\ninsecure_debug = false\n"
 295
 296 #
 297 #Setting bootloader password
 298 #
 299 - name: set host os variable
 300   when: host_os is defined
 301   set_fact:
 302     grub2_pass: "{{  host_os.grub2_password | default('Empty')  }}"
 303
 304 - name: protect grub with root password
 305   when: grub2_pass is defined and grub2_pass != 'Empty'
 306   blockinfile:
 307     dest: /etc/grub.d/40_custom
 308     state: present
 309     insertafter: 'EOF'
 310     content: |
 311       # define superusers
 312       set superusers="root"
 313       #define users
 314       password_pbkdf2 root "{{ grub2_pass }}"
 315
 316 - name: generate grub config
 317   when: grub2_pass is defined and grub2_pass != 'Empty'
 318   command: /usr/sbin/grub2-mkconfig -o /boot/grub2/grub.cfg
 319
 320 #
 321 #Setting the noexec option to the /dev/shm mount dir
 322 #
 323
 324 - name: get back device associated to mountpoint
 325   shell: mount | grep ' /dev/shm ' |cut -d ' ' -f 1
 326   register: device_name
 327   check_mode: no
 328
 329 - name: get back device previous mount option
 330   shell: mount | grep ' /dev/shm ' | sed -re 's:.*\((.*)\):\1:'
 331   register: device_cur_mountoption
 332   check_mode: no
 333
 334 - name: get back device fstype
 335   shell: mount | grep ' /dev/shm ' | cut -d ' ' -f 5
 336   register: device_fstype
 337   check_mode: no
 338
 339 - name: Ensure permission noexec are set on /dev/shm
 340   mount:
 341     path: "/dev/shm"
 342     src: "{{device_name.stdout}}"
 343     opts: "{{device_cur_mountoption.stdout}},noexec"
 344     state: "mounted"
 345     fstype: "{{device_fstype.stdout}}"
 346
 347 #
 348 # Setting file permissions
 349 #
 350
 351 #- name: "Remove the other user write permission from the system directorys"
 352 #  command: find / -xdev \( -perm -0002 -a ! -perm -1000 \) -type d -exec chmod o-w {} \;
 353 #
 354 #- name: "Remove the other user write permission from the system files"
 355 #  command: find / -xdev -perm -0002 -type f -exec chmod o-w {} \;
 356 #
 357 #- name: "Modified the unauthorized SUID/SGID system executables"
 358 #  command: sudo chmod -s $(sudo find / -xdev \( -perm -4000 -o -perm -2000 \) -type f | grep -v sudo)