:lock: CIS Debian 10/11/12 系统加固

Shell-linter 功能测试

基于cisecurity.org建议的模块化Debian 10/11/12安全加固脚本。我们在OVHcloud使用它来加固我们的PCI-DSS基础设施。

注意：尽管Debian 12 CIS加固指南仍在开发中，我们在OVHcloud的生产环境中已经在Debian 12操作系统上使用这套脚本。

$ bin/hardening.sh --audit-all
[...]
hardening [INFO] 处理 /opt/cis-hardening/bin/hardening/6.2.19_check_duplicate_groupname.sh
6.2.19_check_duplicate_gr [INFO] 正在处理 6.2.19_check_duplicate_groupname
6.2.19_check_duplicate_gr [INFO] 检查配置
6.2.19_check_duplicate_gr [INFO] 执行审计
6.2.19_check_duplicate_gr [ OK ] 没有重复的GID
6.2.19_check_duplicate_gr [ OK ] 检查通过
[...]
################### 摘要 ###################
      可用检查总数 : 232
         已运行检查总数 : 166
         通过检查总数 : [ 142/166 ]
         失败检查总数 : [  24/166 ]
   已启用检查百分比 : 71.00 %
       合规性百分比 : 85.00 %

:dizzy: 快速开始

$ git clone https://github.com/ovh/debian-cis.git && cd debian-cis
$ cp debian/default /etc/default/cis-hardening
$ sed -i "s#CIS_LIB_DIR=.*#CIS_LIB_DIR='$(pwd)'/lib#" /etc/default/cis-hardening
$ sed -i "s#CIS_CHECKS_DIR=.*#CIS_CHECKS_DIR='$(pwd)'/bin/hardening#" /etc/default/cis-hardening
$ sed -i "s#CIS_CONF_DIR=.*#CIS_CONF_DIR='$(pwd)'/etc#" /etc/default/cis-hardening
$ sed -i "s#CIS_TMP_DIR=.*#CIS_TMP_DIR='$(pwd)'/tmp#" /etc/default/cis-hardening
$ ./bin/hardening/1.1.1.1_disable_freevxfs.sh --audit
1.1.1.1_disable_freevxfs  [INFO] 正在处理 1.1.1.1_disable_freevxfs
1.1.1.1_disable_freevxfs  [INFO] [描述] 禁用挂载freevxfs文件系统。
1.1.1.1_disable_freevxfs  [INFO] 检查配置
1.1.1.1_disable_freevxfs  [INFO] 执行审计
1.1.1.1_disable_freevxfs  [ OK ] CONFIG_VXFS_FS 已禁用
1.1.1.1_disable_freevxfs  [ OK ] 检查通过

:hammer: 使用方法

配置

加固脚本位于 bin/hardening。每个脚本都有一个对应的配置文件，位于 etc/conf.d/[脚本名称].cfg。

每个加固脚本可以在其配置文件中单独启用。例如，这是 disable_system_accounts 的默认配置文件：

# 同名脚本的配置
status=disabled
# 在此处放置关于管理员账户shell的例外情况，用空格分隔
EXCEPTIONS=""

status 参数可以取3个值：

disabled (不执行任何操作)：脚本不会运行。
audit (只读)：脚本将检查是否应该应用任何更改。
enabled (读写)：脚本将检查是否应该进行任何更改，并自动应用它能应用的内容。

全局配置在 etc/hardening.cfg 中。该文件控制日志级别以及备份目录。当脚本被指示编辑文件时，它会在此目录中创建一个带时间戳的备份。

运行即"加固你的发行版"

要运行检查并应用修复，请执行 bin/hardening.sh。

此命令有两种主要操作模式：

--audit：使用所有已启用和审计模式的脚本审计你的系统
--apply：使用所有已启用和审计模式的脚本审计你的系统，并为已启用的脚本应用更改

此外，一些选项增加了更多的细粒度：

--audit-all 可用于强制运行所有审计脚本，包括已禁用的脚本。这不会改变系统。

--audit-all-enable-passed 可作为快速启动配置的方法。它将以审计模式运行所有脚本。如果脚本通过，它将自动为未来的运行启用。如果你已经开始自定义配置，请不要使用此选项。

--sudo：以普通用户身份审计你的系统，但允许sudo提升权限以读取特定的只读根文件。你需要在 /etc/sudoers.d/ 中提供一个带有 NOPASWD 选项的 sudoers 文件，因为检查是使用 sudo -n 选项执行的，该选项不会提示输入密码。

--batch：在执行系统审计时，此选项将 LOGLEVEL 设置为 'ok' 并捕获所有输出，以在检查完成后只打印一行，格式如下： OK|KO OK|KO|WARN{子检查结果} [OK|KO|WARN{...}]

--only <检查编号>：只运行选定的检查。

--set-hardening-level：运行所有低于或等于所选级别的检查。如果你已经开始自定义配置，请不要使用此选项。

--allow-service <服务>：与 --set-hardening-level 一起使用。修改策略以允许机器上某种类型的服务，如 http、mail 等。可以多次指定以允许多个服务。使用 --allow-service-list 获取支持的服务列表。

--set-log-level <级别>：此选项设置 LOGLEVEL，你可以选择：info、warning、error、ok、debug。默认值为：info

--create-config-files-only：仅在 etc/conf.d 中创建配置文件。必须以 root 身份运行，在以 secaudit 用户身份运行审计之前，以正确设置配置文件的权限。

--allow-unsupported-distribution：必须在命令行中手动指定，以允许在不兼容的版本或发行版上运行。如果你想消除警告，请在 /etc/hardening.cfg 中更改 LOGLEVEL

:computer: 黑客攻击

获取源代码

$ git clone https://github.com/ovh/debian-cis.git

构建debian软件包 (非正式方式)

$ debuild -us -uc

添加自定义加固脚本

$ cp src/skel bin/hardening/99.99_custom_script.sh
$ chmod +x bin/hardening/99.99_custom_script.sh
$ cp src/skel.cfg etc/conf.d/99.99_custom_script.cfg

每个自定义检查的编号都以99开头。之后的编号取决于检查所涉及的部分。

如果检查在某种程度上替代了CIS规范中的一项，你可以使用它替代的检查的编号。例如，我们在 1.4.x 中检查OSSEC（文件完整性）的配置，而CIS建议使用AIDE。

不要忘记在注释中说明它是否是额外检查（CIS建议但不在CIS编号中），遗留检查（来自之前的CIS规范但在最新版本中删除）或OVHcloud安全检查。（OVHcloud安全策略的一部分）

编写你的检查，解释它做什么，然后如果你想测试

$ sed -i "s/status=.+/status=enabled/" etc/conf.d/99.99_custom_script.cfg
$ ./bin/hardening/99.99_custom_script.sh

:sparkles: 功能测试

提供了功能测试。它们需要在Docker环境中运行。

$ ./tests/docker_build_and_run_tests.sh <目标> [测试脚本名称...]

其中 目标 可以是 debian10 或 debian11 等。

不带脚本参数运行将执行 ./tests/hardening/ 目录中的所有测试。也可以指定一个或多个要运行的测试脚本。

这将根据项目的当前状态构建一个新的 Docker 镜像，并运行一个容器，对每个检查项评估一个空白 Debian 系统的合规性。对于加固审计点，预期审计会失败，然后进行修复，以便第二次运行审计时能够成功。对于易受攻击的项目，预期在空白系统上审计会成功，然后功能测试会引入一个弱点，预期在第二次运行审计测试时能够检测到。最后，运行 debian-cis 脚本的 apply 部分将恢复合规状态，预期通过第三次运行审计检查来评估。

功能测试可以使用以下辅助函数：

describe <测试描述>
run <用例> <审计脚本> <审计脚本选项>
register_test <测试内容（见下文）>
- retvalshoudbe <整数> 检查脚本返回值
- contain "<样本文本>" 检查输出是否包含以下文本

要编写自己的功能测试，可以在 ./src/skel.test 中找到代码骨架。

一些测试带有免责声明，警告我们只在空白主机上测试，不会测试应用功能。这是因为检查非常基本（如软件包安装），对其进行测试并非真正必要。

此外，某些测试在 docker 上被禁用，因为它们不适用（内核模块、grub、分区等）。可以使用以下方式在 docker 上禁用检查：

if [ -f "/.dockerenv" ]; then
  skip "在 docker 上跳过"
else
...
fi

:art: 编码风格

Shellcheck

我们使用 Shellcheck 来检查脚本的正确性并遵守最佳实践。它可以直接在 docker 环境中使用，以检查所有脚本的合规性。默认情况下，它会对所有找到的 .sh 文件运行。

$ ./shellcheck/launch_shellcheck.sh [脚本名称...]

Shellfmt

我们使用 Shellfmt 来检查样式并在每个脚本中保持一致的风格。与 shellcheck 类似，可以通过以下脚本运行：

$ ./shellfmt/launch_shellfmt.sh

它会自动修复每个脚本中的任何样式问题。

:heavy_exclamation_mark: 免责声明

本项目是一组工具。它们旨在帮助系统管理员构建安全环境。虽然我们在 OVHcloud 使用它来加固我们符合 PCI-DSS 标准的基础设施，但我们不能保证它对您也适用。它不会神奇地保护任何随机主机。

关于本仓库的编号、实现和长期可持续性的说明：该项目始于 2016 年的 Debian 7 发行版。随着时间推移，CIS Benchmark PDF 不断演变，改变了编号，删除了过时的检查项。为了与最后维护的 Debian 保持向后兼容性，编号并未随 PDF 一起更改，因为配置脚本是根据它命名的。更改编号可能会破坏多年来使用它的管理员的自动化，并且在不破坏任何东西的情况下处理这个问题需要大规模重构。因此，请不要担心编号，检查项目都在那里，但跨 PDF 的编号可能会有所不同。另请注意，CIS Benchmark PDF 中的所有检查项可能并未在这组脚本中实现。我们选择了对我们 OVHcloud 最相关的检查项，如果您认为有遗漏的脚本对您很重要，请随时提交拉取请求以添加它。

此外，引用许可证：

本软件由 OVH SAS 及贡献者 "按原样" 提供，不提供任何明示或暗示的保证，包括但不限于对适销性和特定用途适用性的暗示保证。在任何情况下，OVHcloud SAS 及贡献者均不对任何直接、间接、附带、特殊、示例性或后果性损害（包括但不限于替代商品或服务的采购；使用、数据或利润的损失；或业务中断）承担责任，无论是基于合同、严格责任还是侵权行为（包括疏忽或其他）的任何责任理论，即使被告知可能发生此类损害。