Um einen Server zu härten, damit er den strengeren CIS Standard erfüllt, benötigt ihr eine Ubuntu Advanteage Subscription – diese ist für die persönliche Verwendung für 5 Maschinen kostenlos. Erstellt dazu ein Konto bei Ubunut One unter https://ubuntu.com/pro
Wenn ihr dies gemacht habt seht ihre einen Token, denn ihr auf euren Server verwenden könnt. Nun gehen wir wie folgt vor:
Kopiert euch den Tocken.
Meldet euch auf den Server z.B. per SSH an.
Startet einen Terminal falls noch nicht geschehen.
sudo apt update
sudo apg upgrade
sudo pro status
sudo pro attach <Tocken>
Danach wird das System als angemeldet angezeigt:
Enabling default service esm-infra
Updating package lists
Ubuntu Pro: ESM Infra enabled
Enabling default service livepatch
Installing canonical-livepatch snap
Canonical livepatch enabled.
This machine is now attached to 'Ubuntu Pro - free personal subscription'
SERVICE ENTITLED STATUS DESCRIPTION
esm-infra yes enabled Expanded Security Maintenance for Infrastructure
fips yes disabled NIST-certified core packages
fips-updates yes disabled NIST-certified core packages with priority security updates
livepatch yes enabled Canonical Livepatch service
usg yes disabled Security compliance and audit tools
NOTICES
Operation in progress: pro attach
Die weiteren gewünschten Dienste können nun wie folgt aktiviert werden:
sudo pro enable usg sudo pro enable fips-updates sudo apt install usg sudo usg fix cis_level1_server (oder den Level denn ihr anstrebt)
Mit WAZUH könnt ihr dann den CIS Level des entsprechenden Servers prüfen.
Weitere Sicherheitsmaßnahmen :
sudo pro enable fips-update sudo pro enable livepath sudo pro enable usg
Der Status kann wie folgt abgefragt werden:
sudo pro status