Ubuntu Server 20.04 härten

Um einen Server zu härten, damit er den strengeren CIS Standard erfüllt, benötigt ihr eine Ubuntu Advanteage Subscription – diese ist für die persönliche Verwendung für 5 Maschinen kostenlos. Erstellt dazu ein Konto bei Ubunut One unter https://ubuntu.com/pro

Wenn ihr dies gemacht habt seht ihre einen Token, denn ihr auf euren Server verwenden könnt. Nun gehen wir wie folgt vor:

Kopiert euch den Tocken.

Meldet euch auf den Server z.B. per SSH an.

Startet einen Terminal falls noch nicht geschehen.

sudo apt update
sudo apg upgrade
sudo pro status
sudo pro attach <Tocken>

Danach wird das System als angemeldet angezeigt:

Enabling default service esm-infra
Updating package lists
Ubuntu Pro: ESM Infra enabled
Enabling default service livepatch
Installing canonical-livepatch snap
Canonical livepatch enabled.
This machine is now attached to 'Ubuntu Pro - free personal subscription'

SERVICE          ENTITLED  STATUS    DESCRIPTION
esm-infra        yes       enabled   Expanded Security Maintenance for Infrastructure
fips             yes       disabled  NIST-certified core packages
fips-updates     yes       disabled  NIST-certified core packages with priority security updates
livepatch        yes       enabled   Canonical Livepatch service
usg              yes       disabled  Security compliance and audit tools

NOTICES
Operation in progress: pro attach

Die weiteren gewünschten Dienste können nun wie folgt aktiviert werden:

sudo pro enable usg
sudo pro enable fips-updates
sudo apt install usg
sudo usg fix cis_level1_server (oder den Level denn ihr anstrebt)

Mit WAZUH könnt ihr dann den CIS Level des entsprechenden Servers prüfen.

Weitere Sicherheitsmaßnahmen :

sudo pro enable fips-update
sudo pro enable livepath
sudo pro enable usg

Der Status kann wie folgt abgefragt werden:

sudo pro status

Tags: , , , ,