Усиление безопасности
Обзор
Задания усиления применяют конфигурации эталонных тестов CIS к вашим серверам с использованием автоматизации Ansible. Этот процесс изменяет системные настройки для соответствия стандартам безопасности.
Внимание: Усиление изменяет конфигурации системы. Всегда тестируйте на непроизводственных серверах сначала.
Профили усиления
| Профиль | Описание | Влияние |
|---|---|---|
| CIS Level 1 - Server | Базовое усиление безопасности | Минимальное влияние на сервисы |
| CIS Level 2 - Server | Расширенное усиление безопасности | Может повлиять на некоторые сервисы |
| CIS Level 1 - Workstation | Базовая безопасность рабочей станции | Для десктопных систем |
| CIS Level 2 - Workstation | Расширенная безопасность рабочей станции | Для высокозащищенных десктопов |
Запуск задания усиления
Один хост
- Перейдите на страницу Хосты
- Найдите целевой хост
- Нажмите кнопку Усилить
- Выберите профиль усиления
- Установите приоритет (1-10, более высокий выполняется первым)
- Нажмите Запустить усиление
Массовое усиление
- Перейдите на страницу Хосты
- Выберите несколько хостов с помощью чекбоксов
- Нажмите Массовое усиление
- Выберите профиль и приоритет
- Нажмите Запустить усиление для всех
Приоритет задания
Приоритет определяет порядок выполнения, когда несколько заданий в очереди:
| Приоритет | Описание |
|---|---|
| 1-3 | Низкий приоритет, выполняется после заданий с более высоким приоритетом |
| 4-6 | Нормальный приоритет |
| 7-9 | Высокий приоритет, выполняется перед заданиями с более низким приоритетом |
| 10 | Критический, выполняется немедленно |
Статус задания
| Статус | Описание |
|---|---|
| Pending | Задание в очереди |
| Queued | Задание ожидает worker |
| Running | Ansible playbook выполняется |
| Completed | Усиление успешно завершено |
| Failed | Усиление завершилось с ошибками |
Просмотр заданий
Страница Задания
Страница Задания отображает все задания усиления с:
- Имя хоста
- Используемый профиль
- Статус
- Длительность
- Время начала
- Время завершения
Детали задания
Нажмите Посмотреть вывод для просмотра:
- ID задания
- Информация о хосте
- Профиль и приоритет
- Вывод Ansible (полный лог выполнения)
- Сообщения об ошибках (при неудаче)
Понимание вывода Ansible
Вывод Ansible показывает:
- PLAY - начало выполнения playbook
- TASK - отдельное изменение конфигурации
- ok - задача выполнена, изменения не требуются
- changed - задача внесла изменение в конфигурацию
- failed - задача завершилась с ошибкой
- PLAY RECAP - сводка всех изменений
Пример вывода
PLAY [Apply CIS hardening] ****************************************************
TASK [Ensure mounting of cramfs is disabled] **********************************
changed: [192.168.1.100]
TASK [Ensure mounting of freevxfs is disabled] ********************************
ok: [192.168.1.100]
PLAY RECAP ********************************************************************
192.168.1.100 : ok=95 changed=42 failed=0AI-диагностика ошибок
При неудаче задания используйте AI-диагностику:
- Найдите проваленное задание
- Нажмите кнопку Диагностика
- Просмотрите AI-анализ:
- Определение корневой причины
- Рекомендуемые шаги исправления
- Советы по предотвращению
Просмотр истории диагностик
- Раскройте строку задания
- Просмотрите карточку AI-диагностики
- Нажмите Посмотреть полную диагностику для деталей
Действия после усиления
Проверка сервисов
После усиления проверьте критические сервисы:
systemctl status sshd
systemctl status nginx
systemctl status your-applicationЗапуск сканирования соответствия
- Перейдите на страницу Соответствие
- Запустите новое сканирование на усиленном хосте
- Сравните баллы до и после
Просмотр изменений
Проверьте вывод Ansible на:
- Измененные файлы конфигурации
- Перезапущенные сервисы
- Установленные/удаленные пакеты
Откат
Платформа не предоставляет автоматический откат. Для отмены изменений:
- Восстановите из резервной копии (если доступна)
- Вручную отмените изменения конфигурации
- Переразверните из системы управления конфигурацией
Лучшая практика: Снимки
Перед усилением:
- Создайте снимок ВМ
- Запустите усиление
- Проверьте работу приложения
- При проблемах восстановите снимок
Лучшие практики
Тестируйте сначала
- Клонируйте производственный сервер
- Запустите усиление на клоне
- Протестируйте все приложения
- При успехе запустите на производственном сервере
Планируйте на время обслуживания
- Выполняйте усиление во время окон обслуживания
- Подготовьте план отката
- Мониторьте сервисы после завершения
Документируйте исключения
Некоторые правила могут конфликтовать с требованиями приложений:
- Документируйте причину пропуска правила
- Получите одобрение команды безопасности
- Отслеживайте в реестре исключений
Постепенное усиление
- Начните с Level 1
- Проверьте работу всех сервисов
- Запустите сканирование соответствия
- Рассмотрите Level 2 при необходимости
Устранение неполадок
Задание зависло в Pending
- Проверьте работу сервиса worker
- Проверьте подключение к Redis
- Проверьте логи worker
Задание завершилось с ошибкой
- Просмотрите вывод Ansible
- Проверьте сообщения об ошибках
- Используйте AI-диагностику
- Распространенные причины:
- Потеря SSH-подключения
- Отказ sudo
- Ошибка установки пакета
- Диск заполнен
Сервисы не запускаются после усиления
- Проверьте логи systemd:
journalctl -u service-name - Просмотрите изменения конфигурации
- Проверьте, не заблокированы ли порты
- Проверьте, не был ли сервис отключен усилением
Потеря SSH-подключения после усиления
Если заблокированы:
- Используйте консольный доступ (если доступен)
- Загрузитесь в режиме восстановления
- Восстановите конфигурацию SSH
- Рассмотрите исключение правил SSH в следующий раз
Дополнительные материалы
- Ремедиация отдельных правил CIS - точечное исправление несоответствий с процессом утверждения вместо применения полного профиля
- Сканирование уязвимостей Linux-серверов - обнаружение CVE в установленных пакетах после усиления конфигурации
- Устранение неполадок заданий усиления - диагностика ошибок Ansible, проблем SSH и зависших заданий
Проверено OpenNix LLC · Обновлено